记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

小猪短租官方APP存在SQL注入(含120W+用户数据)

2015-12-02 16:45

目标:小猪短租APP

检测发现以下地方存在SQL注入:(注入参数luId,延时盲注/Stacked queries)

code 区域
http://wireless.xiaozhu.com/app/xzfk/android/220/my/modifyFavorite?_=1448946684365&sessId=f83651f6f45cb6e94578c69a051f8185&dispathChannel=xiaozhu&userId=1823761635&luId=1746300834

漏洞证明:

1、SQLMap漏洞证明

sqlmap.jpg



2、列出当前数据库用户,发现是dba

user.jpg



3、列出所有数据库,共10个

dbs.jpg



4、跑下当前库的所有表吧,共264个

tb.jpg



5、发现用户表,共126W+用户数据

tb2.jpg

修复方案:

请多指教~~


知识来源: www.wooyun.org/bugs/wooyun-2015-0157318

阅读:115232 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“小猪短租官方APP存在SQL注入(含120W+用户数据)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云