今天遇到一个微信公众平台注入的实例 -- WooYun(白帽子技术社区) -- 网络安全资讯、讨论，跨站师，渗透师，结界师聚集之地又一个有意思的地方

当前位置：WooYun(白帽子技术社区) >> php >> 今天遇到一个微信公众平台注入的实例

今天遇到一个微信公众平台注入的实例

踩(0)

顶(61)

Valo洛洛 (tomorrow.)

| 2013-10-30 23:01

之前有过讨论，但是情况是我自己模拟出来的，今天终于遇到一个实例。

话不多说，上图。

附送盲打到的后台

分享到：

85 个回复

1#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

death,wish (fͭͨ̓͋̊҉̸̡̡̮̪͉̣͉̣͇͖̪͖̲͚l͌̎) | 2013-10-30 23:04

围观神牛
2#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Mujj (为何我的眼中饱含泪水？因为我装逼装的深沉) | 2013-10-30 23:09

噗
3#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Xhm1n9 | 2013-10-30 23:14

有意思:)
4#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

船长 | 2013-10-30 23:17

流弊
5#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

360网站卫士 (专业爆腾讯漏洞30年) | 2013-10-30 23:21

这地方的改了也没用
6#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

saar | 2013-10-30 23:21

流弊。
7#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

seul (我会骑摩的。) | 2013-10-30 23:23

带我一起飞
8#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

一只猿 (专注无线电与硬件安全) | 2013-10-30 23:24

长姿势
9#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

园长 (喵~) | 2013-10-30 23:24

这次是真的了，下次可以去试试注入下语音通话系统。
10#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

GaRY | 2013-10-30 23:29

很好的 case！多谢分享，加精略表谢意
11#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

wefgod (求大牛指点) | 2013-10-30 23:33

我去，太给力了！！！！！
12#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

ChriSt (噼里啪啦噼里啪啦，啪啪啪啪啪。) | 2013-10-30 23:38

有意思啊啊。。
13#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

小土豆 (加油ing~~) | 2013-10-30 23:41

有意思。楼主很给力。！！！
14#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Ivan (Null.) | 2013-10-31 01:06

屌炸天~~
15#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

网络小兵 | 2013-10-31 02:15

想法不错
16#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

LauRen (不登高山，不知天之高也；不临深溪，不知地之厚也。) | 2013-10-31 02:26

。。。。。。。。
17#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Hxai11 (星辰将为你的眼，而风儿则为你的双手) | 2013-10-31 07:41

楼主很有想法，不如和我学做菜吧
18#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

saber (终极屌丝之路~) | 2013-10-31 08:05

不错。楼主可以试试qq上有没有
19#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Black Angel | 2013-10-31 08:26

噗。
20#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

sex is not show (你在乌云那么叼，你女友知道么) | 2013-10-31 08:40

牛
21#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Mr.x | 2013-10-31 09:02

我会说这是学校网站的接口有注入？
22#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-10-31 09:04

……
23#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Jesus | 2013-10-31 09:09

- -
24#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

also (阿里山的姑娘没水冲凉) | 2013-10-31 09:14

。。。
25#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

→Ｈack涛 | 2013-10-31 09:15

很长姿势啊
26#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Valo洛洛 (tomorrow.) | 2013-10-31 09:16

@Mr.x 事实就是这样请看这里的讨论
现在只是为了证明情况确实会存在
27#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Valo洛洛 (tomorrow.) | 2013-10-31 09:17

@360网站卫士就是为了证明这种情况在现实中会存在：）
28#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Valo洛洛 (tomorrow.) | 2013-10-31 09:18

@Hxai11 先送我一箱益达~
29#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Valo洛洛 (tomorrow.) | 2013-10-31 09:19

@园长调皮
30#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

赵小布 | 2013-10-31 09:41

这个有意思
31#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xsser (十根阳具有长短!!) | 2013-10-31 09:42

我觉得以后我又会手贱了
32#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

winsyk (W) | 2013-10-31 09:59

赞。
33#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

winsyk (W) | 2013-10-31 10:01

技术还是那个技术，只是换了个场景。。程序员又沦陷了。
34#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xixi | 2013-10-31 10:05

有意思。。。
35#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

hqdvista (...) | 2013-10-31 10:12

好顶赞
36#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

YangCL | 2013-10-31 10:25

我想制动，这是什么平台弄的？也想搞一个校园的公众微信
37#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

mramydnei | 2013-10-31 10:29

我觉得很碉
38#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

luwikes (土豆你个西红柿，番茄你个马铃薯～～～) | 2013-10-31 10:31

流弊
39#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

小熊饼干 | 2013-10-31 10:37

赞！
40#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Hancock | 2013-10-31 10:49

长姿势
41#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

请叫我大神 | 2013-10-31 10:58

@GaRY 任何输入都是有害的，微信输入作为输入源，想想语音输入，图片输入...对吧，以后手机语言解锁可以对着手机说' or ''='
42#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

小乖 (走在世界最前端的人，不是天才，就是疯子！) | 2013-10-31 11:00

长知识了！
43#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

无敌L.t.H (‮……天百一爱恋考高：簿相色白产国) | 2013-10-31 11:05

移动客户端都可以搞很多东西
44#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xiaogui | 2013-10-31 12:26

这个思路牛逼啊~~~
45#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

0x_Jin (世上人多心不齐) | 2013-10-31 14:02

我次奥再一次体会到任何输入都可能是有害的
46#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

wugui (摄像头已贴标签ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็ฏ็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็็) | 2013-10-31 14:31

叼炸天了
47#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Xeyes (无个性,不签名.) | 2013-10-31 14:39

上档次
48#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Jumbo (www.chinabaiker.com) | 2013-10-31 14:43

实则还是微信后面的网站问题
49#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

╰╃清風 | 2013-10-31 15:00

好思路，和车牌注入一样；
50#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

疯狗 (阅尽天下漏洞，心中自然无码。) | 2013-10-31 15:24

你太赞了，嫩直接into outfile不？
51#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

niliu (一具温暖的尸体...) | 2013-10-31 15:33

@╰╃清風微博上见过那个车牌注入的。。。
52#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

El4pse | 2013-10-31 16:39

要是没网页版这手敲着挺累的
53#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Power | 2013-10-31 16:44

哦擦
54#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Valo洛洛 (tomorrow.) | 2013-10-31 17:09

@疯狗这个case 权限不够额
55#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xsser (十根阳具有长短!!) | 2013-10-31 17:11

@Valo洛洛唯一悲催的是这个不会给出错信息输出吧毕竟还是有一层
56# 感谢(1)
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Croxy | 2013-10-31 18:14

给个赞！
57#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

123 (v2ex) | 2013-10-31 18:36

楼主你需要的是 http://wx.qq.com，手机打着太累了
58#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Mody | 2013-10-31 19:12

碉堡了啊
59#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么？) | 2013-10-31 19:32

这个学校到了，思路很赞啊。
60#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

nmeia (▁▂▃▄▅▆▇█▇▆▅▄▃▂▁▁▂▃▄▅▆▇█▇▆▅▄▃▂▁▁▂▃▄▅▆▇█▇▆▅▄▃▂▁▁▂▃▄▅▆▇█▇▆▅▄▃▂▁▁▂▃▄▅▆▇█▇▆▅▄▃▂▁▁▂▃▄▅▆▇█▇▆▅▄▃▂▁) | 2013-10-31 22:51

长姿势啊
61#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Valo洛洛 (tomorrow.) | 2013-10-31 23:09

@xsser 对呢错了就按后端设定的信息输出了
62#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

lxm | 2013-11-01 09:18

@Valo洛洛蛋疼
63#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Valo洛洛 (tomorrow.) | 2013-11-01 10:05

@lxm 牛逼，大牛有id了
64#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

邪少 | 2013-11-01 11:11

牛逼牛逼啊。
65#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

一刀终情 ((注意看时间，没乱哦！) ‫(1314520)) | 2013-11-01 11:19

太吊了~
66#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

x防部 (顶着核心白帽ID装核心，你比helen更装b？) | 2013-11-01 12:43

@疯狗 http://wooyun.org/bugs/wooyun-2013-040901这个能算通用性漏洞奖励QB吗
67#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

疯狗 (阅尽天下漏洞，心中自然无码。) | 2013-11-01 14:26

@x防部可以
68#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

x防部 (顶着核心白帽ID装核心，你比helen更装b？) | 2013-11-01 14:26

@疯狗 OK谢谢啦还有几天上线礼物吗？哈哈
69#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

horseluke (微碌) | 2013-11-01 15:45

和今天传的那个badbios都有一个共同点：不管什么载体，能完成任务那都是极好的...
70#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

围剿 (七月流火，八月未央，九月白露凝成轻霜) | 2013-11-01 16:17

涨姿势了
71#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

廷廷 (想法最重要) | 2013-11-01 17:58

围观··
72#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

O.o | 2013-11-01 18:51

nbnb啊！
73#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

小乐天 | 2013-11-01 21:44

围观
74#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

昵称 (</textarea>'"><script src) | 2013-11-01 22:46

牛逼啊，我看到有个大型平台就出错了啊，可是找不到报错信息
75#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

lxm | 2013-11-02 13:46

@Valo洛洛你大爷的
76#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

双人份 (DoubleShit) | 2013-11-02 14:22

弄3方托管平台，于是一堆的公众帐号。
77#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

咖啡 (SELECT) | 2013-11-02 14:36

真的？
78#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Black-Hole (我12破处) | 2013-11-02 16:48

尼玛...这都可以...以后手又要犯贱了....
79#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

O.o | 2013-11-02 21:01

涨姿势了！必须mark！
80#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Traxex | 2013-11-05 15:24

涨姿势了！
81#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

tSt (http://www.wwwer.net) | 2013-11-09 16:28

涨姿势了！
82#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

x1aoh4i | 2013-11-10 00:13

涨姿势了
83#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

爱梅小礼 | 2013-11-18 20:52

涨姿势了，这样也可以
84#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

PanFake | 2014-03-22 12:31

这个相当好玩啊！！！
85#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

基佬库克 | 2014-04-08 16:35

sql注入这种纯属逻辑不言严谨啊。。
86#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

by小星星 | 2014-05-10 15:26

这个也行了。擦
87#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

hack2012 (www.waitalone.cn) | 2015-01-19 10:28

这样也行呀，我靠了。

今天遇到一个微信公众平台注入的实例

添加新回复

WooYun(白帽子技术社区)

其它内容