小风最近没更新什么教程,今天必须更新比较有技术含量的
网址为:http://fjportal.vcomlive.com/
页面底部显示该网站为
福建联通宽带数字家庭 河南网视传媒有限公司 郑州威科姆科技股份有限公司 联合运营
注入点:
随便点开一个节目,链接http://fjportal.vcomlive.com/play/play.php?id=LBQG1120572
id参数存在注入
SQLMAP
来看一下表记录数
subscriber 用户记录数有114W,而且有账号密码
找几条看看
随便找两个用户登录下
但是点进去之后发现非法IP
貌似账号绑定IP?
没明白就没继续测试了
然后在找了找
上面admin是后台管理员账号和md5密码,但是小风始终没找到后台登录地址,放弃!
最后又找到数据库配置信息
然后去扫了下IP 58.22.63.202 的端口,发现3306端口开放,可以远程连接MYSQL
然后可以直接拖库了!里面共有114w用户数据,小风已将漏洞提交至官方。 下载地址: 2015最新QQ空间钓鱼网站参考源码 小风原创社工挟持网站案例(猥琐+伪装) |