2014-06-03:细节已通知厂商并且等待厂商处理中
2014-06-03:厂商已经确认,细节仅向厂商公开
2014-06-13:细节向核心白帽子及相关领域专家公开
2014-06-23:细节向普通白帽子公开
2014-07-03:细节向实习白帽子公开
2014-07-18:细节向公众公开
最近看搜狐被各位大牛们刷的不成人样了,我也来凑凑热闹。
无意中看到浩天大牛提交的注入漏洞。
地址是:http://house.focus.cn/reviewhouse/review_forum_detail.php?user_id=48299521' and 1=2 and '%'='% 打开发现有一个测试帐号
尝试登录 liuna129 liuna129
卧槽,登录成功 什么j8人品。 登录进来了,肯定要去逛逛。
随便逛了一下论坛,发现我的权限还真大,封IP,删帖等等...都可以
而且每个论坛都可以管理。我感觉貌似整个网站所有的论坛我都可以管理。
为了证实我的权限是管理员权限我去找了一下后台。没想到还真让我找到了一个 http://sh.focus.cn/entrance.php?m=common/private/modules/admin/controllers&c=admin_manage&a=public_init
搜狐焦点楼盘数据库管理
我的帐号能登录就去,果然,我是系统管理员的权限
尝试拿shell 找上传,多次测试最后没有拿下shell。 - - 拿不下,那就算了,随便逛逛,我突然想起,像这样的站点应该有个什么积分兑换的! 我翻了一下,还真找到了几个
而且还有积分后台,好奇心叫我点一下
发现还可以修改兑换物品的积分,我本来想修改的,兑换几个东西的。但是我怕修改了以后会很多人兑换,所以就没有修改....
还有很多很多....
先到这里,下一个洞更精彩。
此弱口令将会引起连锁反应。
主要是他的权限太大。
拒绝弱口令。
还有,求礼物。 求高rank,我需要资金买电脑,我跟电脑是真心相爱的,我爸硬要把我们拆散。 所以我必须要买一台笔记本,但是我是一个苦逼的学生,买不起啊! - -、
请问怎么样才可以一下子获得400~500乌云币?或者怎么样才能一下子获得4000~5000人民币?
厂家,你看完以后请私密我,我有事跟你商量。 3Q
漏洞回应 厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2014-06-03 11:25
厂商回复:感谢对sohu安全的支持。
最新状态:暂无