找回密码处,手机号and验证码均存在注入,这里使用*强制注入手机号,
使用随机agent+proxy,经过漫长时间注入,把战果整理一下
涉及福建省,几百万人开房记录包含详细的身份证件信息。
涉及到全省十几万家旅馆,账号全部采用数字编号,200X,200X+1,user=pass,这里可用8148,8148登录,但是由于要安装控件,才能显示全部内容,我就不安装了...
这种旅馆采集系统也不是第一次报了,但是危害确实很大,估计近期的开房库一部分来源于采集系统。
数据注入较慢,选了几个数量较多,较为敏感的做了采集。
只证明,不做任何其他处理。
POST包
数据库结构
当前库