2014-04-13:细节已通知厂商并且等待厂商处理中
2014-04-18:厂商已经确认,细节仅向厂商公开
2014-04-28:细节向核心白帽子及相关领域专家公开
2014-05-08:细节向普通白帽子公开
2014-05-18:细节向实习白帽子公开
2014-05-28:细节向公众公开
爱心银行设置缺陷万能密码+数据库任意下载(已shell)
详细说明:具体来这边看:
http://wenku.baidu.com/link?url=M6sMQbMxNeHCvkQRoES7u_noUc10m6DHDDGFok88bXIsUv8LAK4thkkluQJ_3wKoOJBl4TttTj1-v-zoSLyISD6wy2v36aen5ND3yc0v13S
既然涉及金钱,我就笑纳了 哈哈 默默奉献的我-。-
#1: 百度搜索
“爱心银行”
第一个。
数据库asa可直接访问,下载成mdb,然后查看下。。
源码公布地址:
http://www.17558.net/post/731.html
http://pan.baidu.com/s/1h6ftE
#2:下载出来看到密码是:en}|68:
怎么登陆都登陆不进去
然后看到错误页面
以前别人做万能密码经常都是这种系统界面躺枪- -
试试万能密码吧?
'or'='or'
果断新增,插入一句话,连接成功!
貌似还有分站。
google一番,发现
http://gy.pylt.hk/ 平远县公益义工协会
http://www.mxtx.net/ 梦想童行
其他不测试了。
证明的话就这个吧。。
http://www.zjlovebank.com/db/%23uxdb.asa
#3:提权,我提,我提,我提,提,提
失败鸟。。。
发现账户
123 123 错误
123 123456 错误
rqjw$ rqjw$ 错误
rqjw$ 123456 成功
什么J8人品。。
既然涉及金钱,我就笑纳了 哈哈
默默奉献的我-。-
#1: 百度搜索
“爱心银行”
第一个。
数据库asa可直接访问,下载成mdb,然后查看下。。
源码公布地址:
http://www.17558.net/post/731.html
http://pan.baidu.com/s/1h6ftE
#2:下载出来看到密码是:en}|68:
怎么登陆都登陆不进去
然后看到错误页面
以前别人做万能密码经常都是这种系统界面躺枪- -
试试万能密码吧?
'or'='or'
果断新增,插入一句话,连接成功!
貌似还有分站。
google一番,发现
http://gy.pylt.hk/ 平远县公益义工协会
http://www.mxtx.net/ 梦想童行
其他不测试了。
证明的话就这个吧。。
http://www.zjlovebank.com/db/%23uxdb.asa
#3:提权,我提,我提,我提,提,提
失败鸟。。。
发现账户
123 123 错误
123 123456 错误
rqjw$ rqjw$ 错误
rqjw$ 123456 成功
什么J8人品。。
1:删除 123
以及rqjw$
2:并且禁止数据库任意下载and万能密码登陆
详情参考这里:http://zhidao.baidu.com/link?url=b6v1iTmt6p1WjyUcOzprjzKz1Ah_t7DD7zAI54b_BDUXLhmCFa_YhGCa9NeeuVGofhY1gANu2n5LiLHaTghGu_
3:银行捐款这些应该更加强安全意识! 祝你们越办越好,也希望更多人可以组办公益活动,地球就靠你们了。
危害等级:高
漏洞Rank:12
确认时间:2014-04-18 10:21
厂商回复:最新状态:
暂无