记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

台湾某金融卡支付网站几处注入(泄露近4万会员信息)

2015-10-16 15:00

注入点:

http://www.smart2pay.com.tw/qa.php?no=5

http://www.smart2pay.com.tw/events_detail.php?no=255

参数:no

网站开了gpc,但注入点为int型

1.png



放到sqlmap中

2.png



code 区域
Database: DBL01356

[43 tables]

+---------------------+

| ActivityBanner |

| ActivityContent |

| ActivityMethod |

| PreferentialBanner |

| PreferentialClass |

| QA |

| SP_HomeMiddle |

| SP_HomeTop |

| SP_InnerTop |

| SpecialReport |

| adbanner |

| admin |

| auth |

| banner |

| cardbank |

| cardbankdescript |

| contact |

| contactus |

| country |

| ecstore |

| epaper |

| epapersent |

| film |

| life |

| mainmenu |

| mcc |

| member |

| member_bak |

| member_temp |

| preferentialContent |

| qaclass |

| repliedmail |

| reward |

| searchfn |

| secondmenu |

| state |

| storecategory |

| storeinfoContent |

| storeinfobanner |

| storeinfoclass |

| storelist |

| storelist2 |

| taiwan |

+---------------------+



会员数,36000+

3.png

漏洞证明:

可dump,仅作为证明

4.png



修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2015-0138215

阅读:86682 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“台湾某金融卡支付网站几处注入(泄露近4万会员信息)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云