记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华
«TCL某服务平台命令执行导致服务器被控(管理员邮件和数据库信...
手机行业安全之vivo智能手机某站SQL注入(DBA权限)... »

巨人网络某站Referer延时SQL盲注漏洞(DBA权限)

2015-09-16 23:00

巨人网络某站Referer延时SQL盲注漏洞(DBA权限)

漏洞证明:

1、巨人网络某站Referer注入(DBA权限),URL:http://jf.ztgame.com

2、GET包如下:

code 区域
GET /index.php HTTP/1.1

Referer: *

X-Requested-With: XMLHttpRequest

Host: jf.ztgame.com

Connection: Keep-alive

Accept-Encoding: gzip,deflate

Accept: */*



3、Referer存在注入:

1.png



4、时间盲注,非常耗时,取当前用户吧:

3.png



5、DBA权限:

5.png



6、不深入了

修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2015-0140438

阅读:111041 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“巨人网络某站Referer延时SQL盲注漏洞(DBA权限)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

随机推荐

标签云