记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

久游网某分站SQL注入可写shell

2014-12-08 19:00

影响url:http://east.ent.9you.com/butterfly/index.php?r=News/GetNewsList&order=comment&num=10&page=1&author=42【注入点】&jsonp=jQuery19104597843303345144_1412652260947&_=1412652260952

sql报错,绝对路径都泄漏了。

QQ图片20141024175828.jpg



sqlmap命令 --dbs

921.jpg



922.jpg



当前库--current-db

921当前数据库.jpg



当前数据库表段:

921用户表.jpg



用户密码邮箱重要字段

921用户密码邮箱.jpg





漏洞证明:

php-mysql+绝对路径泄漏+root权限,这是直接into outfile 写shell的节奏啊,赶紧修复吧。



2222.jpg

修复方案:

rank不能高点吗,@中国好厂商

知识来源: www.wooyun.org/bugs/wooyun-2014-080620

阅读:77010 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“久游网某分站SQL注入可写shell”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云