漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0171790
漏洞标题:阿基米德SQL注入大量用户数据泄露(涉及百万用数据含密码)
相关厂商:阿基米德
漏洞作者: 小龙
提交时间:2016-01-22 13:20
修复时间:2016-03-08 21:29
公开时间:2016-03-08 21:29
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-01-22: 细节已通知厂商并且等待厂商处理中
2016-01-26: 厂商已经确认,细节仅向厂商公开
2016-02-05: 细节向核心白帽子及相关领域专家公开
2016-02-15: 细节向普通白帽子公开
2016-02-25: 细节向实习白帽子公开
2016-03-08: 细节向公众公开
简要描述:
随时随地都可收听,这里是火花碰撞的电台节目汇集地; 精准分类广播节目,你最爱的广播节目想听就听; 汇聚全国电台节目及优秀广播主持人,24h与主持人零距离对话; 超高人气的节目社区,最具趣味的社交平台。摆脱寂寞空虚冷的fm,让你秒变高大上! [爆棚的节目社区] 音乐早餐、东方风云榜、强强三人组、海阳现场秀、股市大家谈、叶文有话要说、今夜私语时、市民政务通-直通990、飞鱼秀、英语300句...... 最受热捧的电台节目,我们为你一网打尽。 [高冷派的交友神器] 不必为你太另类而烦恼,发帖回帖互动找朋友,主持人、节目组为你提供专业解答,阿基米德fm节目社区帮你找到咬合力最强的那一半齿轮。 新闻、音乐、娱乐、股市、交通、维权、情感、学习、养生,总有你的那一档广播节目! [想你所想的福利帖] 食、宿、行、游、购、娱......全方位搜罗广播电台带给你的礼物。 好电影抢不到票?美食排不上队?周末去玩想免单?快来阿基米德fm节目社区![1]
详细说明:
下载次数
http://**.**.**.**/myapp/detail.htm?apkName=org.ajmd 50万
http://**.**.**.**/apps/org.ajmd 29万
电脑太卡了。。就不一一看了
注入点:http://**.**.**.**/get_zhuanti_html.php?zid=95
[21:09:19] [INFO] retrieved: ajmide_main_m
current database: 'ajmide_main_m'
跑了下这个数据库的user表和admin表
得出了
admin里面的表是
[21:16:25] [INFO] retrieved: sh1234
[21:16:25] [INFO] retrieved: jamesqin
[21:16:25] [INFO] retrieved: 754811
[21:16:26] [INFO] retrieved: liqian
漏洞证明:
11
修复方案:
11
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-01-26 15:03
厂商回复:
CNVD未直接复现所述情况,暂未建立与网站管理单位的直接处置渠道,待认领。
最新状态:
暂无