漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-035792
漏洞标题:07073游戏网分站存在注入(多个数据库可脱及多分站沦陷)
相关厂商:07073.com
漏洞作者: 养乐多Ngan
提交时间:2013-09-02 13:41
修复时间:2013-10-17 13:42
公开时间:2013-10-17 13:42
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-02: 细节已通知厂商并且等待厂商处理中
2013-09-02: 厂商已经确认,细节仅向厂商公开
2013-09-12: 细节向核心白帽子及相关领域专家公开
2013-09-22: 细节向普通白帽子公开
2013-10-02: 细节向实习白帽子公开
2013-10-17: 细节向公众公开
简要描述:
分站存在注入,超多个数据库可脱,主站数据库也在里面(www07073),另外因为网站多个分站都是Dedecms,所以很容得到Webshell。
详细说明:
是分站存在Post注入
注入页:http://www.13cr.com/js-0.html Post:search=%27
因为注入点貌似权限太大,能看到太多太多数据库信息了。
数据库: information_schema
123_07073
a07073com
acg073
adv07073
advertising
android07073
atlas07073
baidu
baidu_bak20110613
baidu_pc
baidu_wenwen
baobei
bar07073
bbs073
bbs073bak
bl07073
box07073
cache07073
cartoon
case07073client
chat073
chrislee
comment
cosplay
datacenter
db07073
db07073_tx2
db07073aion
db07073qn
dbcache
discuz
discuz_acg
discuz_android
discuz_bl
discuz_douzai
discuz_ge
discuz_mbbs
discuz_pc
discuz_salanwang
discuz_testbbs
discuz_tv
dn07073
dnf07073
downloads
duandi
duozai07073
fahao10
flash07073
giftcode
hdtemplates
hi07073
huodong
ibufancom
iphone_android
iphone_ios
iphone_wp7
iphonewy_x15
iphonewy_x20
kaifuopen_hzhks
kaifuopen_zjgtqxx
kc07073
kf07073
kf07073b
kf207073
list07073
mesearch
mh073
molihai073
monitor
mysql
nycc
nycc_back
other_website
paihang07073
pcgames07073
performance_schema
picfore
rpg07073
salanwang
shop073
team07073
tongji
top2011
tu07073
tv07073
tweibo
ui073
vocoo
webbox
weixin073
wenwen073
wow07073
www07073
www.13cr.com
wwwbufan
xiazai07073
xuan-astd
xweibo
youxi
zaodong
zhuanchu
zt07073
太多太多了。。。再是网站多处是织梦管理系统,如bl.07073.com.所以Webshell轻轻松松。
漏洞证明:
修复方案:
抓紧过滤。这个漏洞和我原来发的http://wooyun.org/bugs/wooyun-2013-034480,危害性一样严重。请抓紧过滤过滤。
Ps:原来给的礼物真的狠好,我期待这一次的大礼哦~~
版权声明:转载请注明来源 养乐多Ngan@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-09-02 13:45
厂商回复:
这个漏洞我们马上处理
最新状态:
暂无