亚太日报网站存在SQL注射漏洞(敏感信息\可进后台Getshell)

亚太日报由新华社亚太总分社（新华社香港分社）主办，以中国香港为总部，分支机构辐射南太平洋、南亚、东南亚、东北亚、港澳台地区和中国内地。亚太日报中文网络版和英文网络版，即时传播亚太地区各类新闻，权威评述地区和世界大事，倾情奉献普遍兴趣的广泛内容。

注入点：

http://**.**.**.**/templates/zt/gobyscv/citydetail.php?cityid=103018

10个库

其中apd_wdata库为**.**.**.**站的数据库
 

64条管理员账户信息
 

经测试发现 账号zhangyiming可以正常登录网站管理后台 并有较高权限

亚太日报网站管理后台登录口：

http://**.**.**.**/index.php

经测试发现 网站后台广告管理功能模块存在任意文件上传漏洞 在广告文件上传处提交一个php脚本木马可getshell
 

在网站多个目录下发现数据库配置敏感信息
 

运维人员gmail邮箱信息 通过搜索关键字 密码 发现运维人员使用gmail邮箱注册了多个账号

如网易邮箱 百度 新网 V2EX社区 12306购票网等 如果通过密码找回 重置这些账号 相信还能发掘出更多有意思的东西
 

10个库其中的apd_bbs_data库为亚太日报移民留学论坛**.**.**.**的数据库
 

3600多条论坛用户敏感信息

解决方案：

过滤.