危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览19379048

蛋疼的注入漏洞

昨天在网上看到有人发布了“咿呀咿呀淘客家族注入漏洞”,正值周末,试一试吧!搜索关键字是“Powered by咿呀咿呀淘客家族”(据说也可以使用“inurl:announce.php?announceid=4”之类的字符串),经过十来分钟的实验后发现确实可行,在此列出两个案例:

第一个测试目标扔到Safe3 SQL中扫描。注意需要手工添加数据库名:eaea_admin(“咿呀咿呀”的拼音字母),列名是adminname和adminpass。很快就有结果了,猜解出的账号信息是:a dminl0916052b6ed3 54416 c3 87974fc d48c cl。

接着进行MD5在线破解,结果是qwj k112。“咿呀咿呀”的默认后台是域名之后添加“admin/admin_login.php”,构造访问,输入用户名、密码及验证码后点击“管理员登录”按钮,成功进入后台。其中的“会员管理”-“会员列表”处显示了53个会员的淘宝账号、支付宝账号、邮箱等敏感信息,而在“数据库备份”处则可看到各种数据库名称——都带有“eaea”前缀,直接点击“退出登录”闪人。

第二个测试目标是,逮个比较有意思,不需要进行账号的注入猜解,可以直接访问后台看到有提示——“默认的用户名是admin、密码是admin888”。那就试试呗?结果真的就进去了,管理员大哥也忒诚实了吧?128个会员的信息,无语了。

貌似是一个非常普通的注入漏洞,不过因为与淘宝账号及支付宝账号有所关联,涉及到Money,危害是不容小觑的,还望使用该系统的网站管理员赶快行动起来——即使官方还未发布最新补丁的话,最起码是把自己的后台藏一下,或是设置个复杂的密码,以求暂时的安全。文章就写到这里,有什么疑问可以联系我们危险漫步。