记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

p2p之好利网某平台SQL注入泄露千万金额业务信息及会员信息

2015-10-21 01:10

好利网crm系统,遍地存在注入

WooYun: 好利网某后台弱口令可泄漏投资人信息

弱口令修复了,但是登录处存在注入

0.png



用户名处注入,admin' or ''=''#密码随意,可以登录crmadmin超级管理员账户

2.png



泄露千万级金额业务数据

4.png



近10w用户

5.png

漏洞证明:

遍地存在注入,由于平台有防护,一旦大量数据请求,会把ip禁了,那么手动吧

1.png



后台只要有数据交互,基本上都存在注入,且支持union

如果语句不成立

3.png



有防护页面

40.png



41.png



42.png



业务员编辑处,可以直接查看业务员用户及密码

45.png



11.png



12.png



13.png



14.png



15.png



登录经理的账号

会员信息

20.png



查看各会员业务合同

29.png



30.png



31.png



32.png



修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2015-0147038

阅读:70154 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“p2p之好利网某平台SQL注入泄露千万金额业务信息及会员信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云