新浪乐居某处弱口令后台SQL注入

60.28.113.124 admin.i.house.sina.com.cn 绑host

http://admin.i.house.sina.com.cn/index.php?mod=login

xiaojing 123456

然后在礼品兑换管理-手机号处存在sql注入

参数s_mobile

过滤

排查弱口令

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-05-10 14:34

厂商回复：

非常感谢您对乐居的关注，我们会尽快处理这个漏洞

最新状态：

2016-05-10：你好，该漏洞已处理，请测试

1. 2016-05-10 14:39 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

   0

   好快的厂商 在挖挖.

   1# 回复此人

2. 2016-05-10 14:47 | 镱鍚 ( 普通白帽子 | Rank:302 漏洞数:42 | 执手岁月留香，唱曲往事飞扬...)

   0

   @scanf 可怕

   2# 回复此人

3. 2016-05-10 15:30 | 刘海哥 ( 普通白帽子 | Rank:135 漏洞数:30 | 索要联系方式但不送礼物的厂商定义为无良厂...)

   0

   可怕！

   3# 回复此人

4. 2016-05-10 16:54 | F4K3R ( 普通白帽子 | Rank:318 漏洞数:34 | 求团队收留。)

   1

   绑HOSTS这个是咋获IP，域名？

   4# 回复此人

5. 2016-05-10 17:21 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

   0

   后续揭晓

   5# 回复此人

6. 2016-05-10 17:44 | 老实先生 ( 普通白帽子 | Rank:228 漏洞数:75 | 专业承揽工程刮大白，外墙涂料，外墙保温，...)

   0

   还有注入呢？该厂商被挖了多少注入了？

   6# 回复此人

7. 2016-05-10 18:32 | 卖女孩的小火柴 ( 实习白帽子 | Rank:46 漏洞数:11 | 动漫唱歌打球玩游戏)

   0

   恐怖

   7# 回复此人

8. 2016-05-10 22:17 | Mazing ( 路人 | Rank:27 漏洞数:7 )

   0

   整个后台都被处理了。

   8# 回复此人

9. 2016-05-11 01:03 | hasz ( 实习白帽子 | Rank:33 漏洞数:8 | 信息安全)

   0

   @F4K3R 不会是后台限制访问IP？这也能搞？

   9# 回复此人

10. 2016-05-11 08:39 | apple ( 路人 | Rank:10 漏洞数:7 | 这个苹果非常懒，只留下一颗果核)

    0

    我以为乐居再也没有注入了，又惊现注入......

    10# 回复此人

11. 2016-05-11 08:59 | Dark4ce ( 路人 | Rank:23 漏洞数:4 )

    0

    想知道怎么洞主怎么知道绑定的hosts地址

    11# 回复此人

12. 2016-05-11 09:19 | Lar2y ( 实习白帽子 | Rank:31 漏洞数:12 | 有活跃团队要人么？求带飞)

    0

    4级域名了，可怕

    12# 回复此人

13. 2016-05-24 17:35 | 尼古拉斯复愁 ( 路人 | Rank:6 漏洞数:3 )

    0

    666666666666

    13# 回复此人