问题分站:新浪浙江
问题系统:http://zj.sina.com.cn/crm/bookmgr/login.html
1、我可以说之前可以爆破么,现在加上验证码了
弱口令账户巨多,下面账号密码都是123456
0012
0021
0024
0025
0026
0035
0050
0051
0064
0087
0088
0014
0029
0045
0034
0057
0032
0054
0060
0010
0013
0016
0017
0018
0022
0027
0033
0038
0039
0043
0044
0048
0056
0063
0066
0067
0071
0072
0076
0080
0081
0083
0086
0089
0090
0093
0094
0099
0020
0023
0031
0040
0047
0070
0074
0078
0082
0097
0011
0028
0037
0042
0046
0049
0053
0061
0068
0085
0095
0098
0015
0019
0058
0059
0062
0073
0075
0079
0084
0091
0096
0041
0055
0092
0030
0052
0077
0065
0069
0103
0118
0111
0006
0004
0005
0101
0102
0104
0106
0108
0109
0110
0112
0114
0121
0125
0002
0007
0107
0001
0100
0115
0116
0117
0120
0123
0129
0003
0105
0113
0119
0126
0127
0008
0009
0122
0124
0128
2、然后就可以各种登录了
3、然后手动检测发现cookie项存在sql注入问题,这个问题浪费了我点时间
请按回车键进行升级
1.新增动感“魔幻笔”功能
读了下这个库结构,各种用户、管理用户,对浙江站的影响应该不小吖
Database: commonzj
[96 tables]
+---------------------------+
| Team_weibo |
| Team_weibo_class |
| Team_weibo_topics |
| Team_weibo_user |
| admin_group |
| admin_group_priv |
| admin_group_user |
| admin_log |
| admin_priv |
| admin_user |
| book_list |
| book_manager |
| book_type |
| borrow_list |
| dm_field |
| dm_interest_list |
| dm_sys_admin |
| dm_user_interest |
| dm_userinfo |
| dm_userlist |
| dm_wb_user |
| dm_wx_user |
| donate_record |
| draw_record |
| draw_v1_event |
| draw_v1_prize |
| draw_v1_result |
| draw_v1_seed |
| dxhd_lovechina_mblog |
| dxhd_lovechina_user |
| dxhd_lovechina_user_win |
| dxhd_smile |
| dxhd_smile_ats |
| event_mblog_v1 |
| fb_article |
| fb_dept |
| fb_dept_list |
| fb_event |
| fb_field |
| fb_user |
| fb_userinfo |
| getnews_news |
| mgt_cmt_list |
| mgt_users |
| mgt_wb_list |
| p_data_macro |
| p_domain |
| p_field |
| p_project |
| p_project_user |
| p_template |
| p_template_user |
| photo_album |
| photo_img |
| photo_user |
| qpb_model |
| sina_zj_event |