乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-08-26: 细节已通知厂商并且等待厂商处理中 2015-08-31: 厂商已经主动忽略漏洞,细节向公众公开
一个注入
app上抓来的一个链接。
1.http://**.**.**/getGoodsDetailWapfruitId=598
***** i3yx**********abl**********--------**********sage **********sage_log**********wn **********wn_log **********ry ********** **********h **********il ********** **********ll **********ll_goods**********ll_goods**********ll_img **********ll_log ********** ********** ********** **********orage **********orage_lo**********orage_re********** ********** **********se ********** ********** ********** **********aise ********** **********oods **********yzm ********** **********o **********form **********operate ********** **********ate ********** ********** **********online_a**********vs_role ********** ********** **********enu ********** **********--------*****
可以看到有user表和order表
*****--------------+------------********** | EMP_NICK_NM**********--------------+------------**********1YzQxNGMz | 超级管理员 **********GVhOWEwNzM5 | 唐店长 **********hOWEwNzM5 | 婉店长 **********yOGVhOWEwNzM5 | dianxiaoer **********GVhOWEwNzM5 | 史博 **********GVhOWEwNzM5 | 刘振宇 **********zk2ODA1Yjdi | 郭万荣 **********GVhOWEwNzM5 | 陈泽西 **********GVhOWEwNzM5 | 梁昌伟 **********GVhOWEwNzM5 | 史博 **********zMTQ5ODA1 | 梁昌伟 **********TAzNzhiNGFm | 崔振海 **********GVhOWEwNzM5 | 张荣 **********zlhN2Q0NjQ3 | 刘振宇 **********hOWEwNzM5 | 胡梦繁 **********GVhOWEwNzM5 | 唐亮 **********hOWEwNzM5 | 胡梦繁 **********GY1N2I2NjE4 | 史博 **********GVhOWEwNzM5 | 贾鹏 **********zlhN2Q0NjQ3 | 刘振宇 **********zk2ODA1Yjdi | 郭万荣 **********zNzhiNGFm | 崔振海 **********GVhOWEwNzM5 | 张荣 **********5MDdkNmZi | 刘兴华 **********xM2EwNzZk | 陈泽西 **********GVhOWEwNzM5 | 张翔2061 **********WI3MjAxMDVk | 张翔2061 **********WYwOGIyZjAx | 王璐 **********jlmMjI2NGJl | 黄钒 **********jAzNWI4ZjFk | 汪成虎 **********GVhOWEwNzM5 | 封帆 **********GVhOWEwNzM5 | 尤珂 **********zJmNzI1MGFh | 邓红 **********hOWEwNzM5 | 黄爱丽 **********GVhOWEwNzM5 | 党敏 **********2ZiYThmMDA0 | 王智恒 **********hOWEwNzM5 | 西部国际001 **********hOWEwNzM5 | 西部国际001 **********GVhOWEwNzM5 | 冉亮 **********zM3MjUwNTQz | 王强 **********jZjNhOWEy | 石富栋 **********GVhOWEwNzM5 | 金泰002 **********hOWEwNzM5 | 石富栋 **********hOWEwNzM5 | 周发祥 **********DIyMDA1OGM0 | 周发祥 **********hOWEwNzM5 | 包国玉 **********GVhOWEwNzM5 | 肖杰 **********hOWEwNzM5 | 旺座现代城02**********GVhOWEwNzM5 | 金贯 **********GVhOWEwNzM5 | 赵晨 **********hOWEwNzM5 | 车向前 **********GVhOWEwNzM5 | 黄爱丽 **********GVhOWEwNzM5 | 黄爱丽 **********GVhOWEwNzM5 | 张志勇 **********GVhOWEwNzM5 | 胡磊 **********GVhOWEwNzM5 | 毛创 **********hOWEwNzM5 | 岳泽敏 **********--------------+------------*****
dump订单出来下哈。。
参数太多,就dump处三个参数
*****18691871484 **********18392156559 **********15353492315 **********18392156559 **********15771748966 **********15102901076 **********18691632467 **********15339031126 **********15102901076 **********18792454867 **********18192002891 **********18392108529 **********18629417735 **********18700190610 **********15091323396 **********18591925802 **********17792028049 **********13909255295 **********15091323396 **********15339290915 **********18192002891 **********15353553635 **********18717367350 **********15929910299 **********18792966905 **********15829347013 **********13572430025 **********18392867558 **********15339046631 **********18792631214 **********18740400403 **********13324535991 **********18629011600 **********15829690599 **********15809231600 **********15202967944 **********13772155320 **********15669791744 **********13379286694 **********15002913210 **********13060412807 **********18066758803 **********13571860260 **********18792867984 **********15927076226 **********18792867984 **********15029559296 **********18220921669 **********18292393999 **********13245684278 **********18292393999 **********18121441344 **********18710389689 **********15029004275 **********15929975633 **********18409202379 **********15029069556 **********18192290607 **********18220869429 **********17792549827 **********18629040909 **********13709148807 **********13227948956 **********18792777480 **********15691907000 **********13891907399 **********15901421625 **********13399281366 **********18909272206 **********13619292454 **********18551839093 **********15229230363 **********13087560836 **********18049492016 **********13087560836 **********13991234803 **********17719588997 **********13669267700 **********18629369692 **********18192356398 **********15129313447 **********15353633398 **********13259727872 **********13572231800 **********18392152850 **********15829142229 **********18629147074 **********18629147074 **********18829525996 **********18302982698 **********18710846410 **********18629556710 **********18189298832 **********18629340166 **********18092796607 **********15934842803 **********15398040860 **********17791708706 **********15229012872 **********13720708650 **********18991905320 **********13720708650 **********15771970570 **********15529689925 **********15934855833 **********18629598836 **********15829771901 **********18192125115 **********13991155761 **********18502956596 **********18691628222 **********15389410153 **********15229307471 **********15311911381 **********18116135054 **********18116135054 **********18292860001 **********15114838087 **********18010161381 **********13609252952 **********18991996692 **********18991219699 **********18681881057 **********18681881057 **********18991996692 **********15991766755 **********18551839093 **********13772139032 **********18629416180 **********18629416180 **********15771980401 **********18729523632 **********18740451547 **********15529261562 **********13636700064 **********15353671578 **********13572003159 **********18392569757 **********18629108152 **********13781683815 **********13991367723 **********13649217483 **********18691875045 **********13319235322 **********13709185763 **********17791613069 **********18092368110 **********15991690948 **********18191332316 **********15991690948 **********18710389689 **********18729048807 **********18883167822 **********15129313447 **********13759975065 **********15991853613 **********15802931927 **********18591762476 **********15802931927 **********18591762476 **********13571971148 **********15129246936 **********15596851601 **********15802931927 **********15802931927 **********18681883539 **********13991922682 **********15829651304 **********15829928040 **********18729288372 **********18191252715 **********15802931927 **********18191252715 **********15802931927 **********13659186111 **********18966899509 **********15691990926 **********13669182378 **********18740445111 **********15802931927 **********15802931927 **********18292456021 **********18629092625 **********18700787517 **********18392663662 **********18551839093 **********15809220484 **********18292456021 **********18700787517 **********15809231600 **********15802931927 **********18089150345 **********13227021511 **********18292456021 **********18220871699 **********15202927595 **********13227021511 **********15829929451 **********18718100961 **********15802931927 **********18792644092 **********18049084358 **********13759960573 **********18859670571 **********18292456021 **********17791620484 **********15091484602 **********15202927595 **********15202927595 **********15091337486 **********15202927595 **********13720612127 **********18792644092 **********18710832609 **********13087579858 ********** | 131104*****
*****56 200 fal********** 200 false**********6 200 fals**********200 false **********200 false********** 200 fals********** 200 false********** 200 fals********** 200 fals**********6 200 false********** 200 false**********200 false ********** 200 fals**********200 false ********** 200 fals********** 200 fals********** 200 fals**********200 false **********200 false **********56 200 fal**********56 200 fal**********56 200 fal*****
全是123456
不深入了,,数据都没有保留
危害等级:无影响厂商忽略
忽略时间:2015-08-31 13:20
漏洞Rank:4 (WooYun评价)
暂无