当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021403

漏洞标题:58同城某后台弱令绕过(8K的那个后台)

相关厂商:58同城

漏洞作者: 光影

提交时间:2013-04-08 17:54

修复时间:2013-05-23 17:55

公开时间:2013-05-23 17:55

漏洞类型:服务弱口令

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-08: 细节已通知厂商并且等待厂商处理中
2013-04-08: 厂商已经确认,细节仅向厂商公开
2013-04-18: 细节向核心白帽子及相关领域专家公开
2013-04-28: 细节向普通白帽子公开
2013-05-08: 细节向实习白帽子公开
2013-05-23: 细节向公众公开

简要描述:

测试用户没有删除,可以绕过并登陆。

详细说明:

后台地址:http://m.t.58.com/manager/login
用户名:test' or '1'='1''
密码:test' or '1'='1''
可以登录后台。

漏洞证明:

登录的后台:

`}LT~IHCJWHFU47I~~2A_1E.jpg


2.jpg


修复方案:

你们比我懂的

版权声明:转载请注明来源 光影@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-04-08 18:02

厂商回复:

感谢提交,已经修复!

最新状态:

暂无

漏洞评价:

评论

  1. 2013-04-08 17:56 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    前排占座。广告位出租

  2. 2013-04-08 17:56 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这,,难道是视频里那个后台么?

  3. 2013-04-08 17:56 | 党中央 ( 路人 | Rank:24 漏洞数:4 | 中国共产党全国代表大会产生的中央权力机构...)

    这个必须必须关注!! 一整天都是这家伙 好喜感..

  4. 2013-04-08 17:58 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    @党中央 因为他的出现,我表示我今天一天活得很激情

  5. 2013-04-08 18:00 | m4trix1 ( 路人 | Rank:10 漏洞数:2 | 绝对有jj)

    走 找后台去,1个后台十万,10个后台百万了

  6. 2013-04-08 18:01 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言,如此这般。)

    一个后台8k。。。。真爽。。。。。。

  7. 2013-04-08 18:02 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    这个要火

  8. 2013-04-08 18:04 | 党中央 ( 路人 | Rank:24 漏洞数:4 | 中国共产党全国代表大会产生的中央权力机构...)

    @hongygxiang 可不是吗 大早上的起床就看到全部在讨论,好欢快的样子.. 随便找个分站的后台都能这么嗨 以后的人生仿佛都有了希望..

  9. 2013-04-08 18:05 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    你这让人家那个试用期8K的小伙子情何以堪啊、、、

  10. 2013-04-08 18:49 | erevus ( 普通白帽子 | Rank:177 漏洞数:30 | Hacked by @ringzero 我錯了)

    这个是8K的那个吗

  11. 2013-04-08 19:38 | 光影 ( 路人 | Rank:11 漏洞数:4 | 软件技术专业学生,沉静的娃儿……)

    @erevus 是的,但是厂商已经修复(删除==)了。也是这张图片(http://www.zhangleichao.com/wp-content/uploads/58juhua.jpg)中绿色的那个。

  12. 2013-04-08 20:54 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    我错过什么了么

  13. 2013-04-08 21:23 | BlackYe. ( 路人 | Rank:17 漏洞数:5 | 勿在浮沙筑高台~)

    目测会火,太欢乐了~~~

  14. 2013-04-08 22:13 | blrk ( 实习白帽子 | Rank:66 漏洞数:6 | 粪豆褶)

    5rank == 8K rank真值钱

  15. 2013-04-08 22:24 | Stefan ( 路人 | Rank:10 漏洞数:2 | 一个胖子而已……)

    就这8K,太值钱了。以后都去找后台吧。

  16. 2013-04-09 00:19 | 小马 ( 实习白帽子 | Rank:90 漏洞数:21 | 无个性不签名)

    这个今天火了,应聘...不用1万,不要9千,只要8千...只要8千,后台领回家...

  17. 2013-04-09 00:20 | 超人不会飞 ( 实习白帽子 | Rank:85 漏洞数:23 | 好好学习,天天向上!)

    这个确实欢乐 那个上非你莫属的没进后台8K LZ估计得80K了!

  18. 2013-04-09 00:46 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    这个给5rk的是主角吗?

  19. 2013-04-09 09:44 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    @Passer_by 必须是的

  20. 2013-04-09 14:47 | saga ( 路人 | Rank:11 漏洞数:2 | 世界上只有10种人,懂二进制的,和不懂二进...)

    万能密码万岁

  21. 2013-04-09 17:23 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @saga 估计不是那个,不然也太容易了

  22. 2013-04-09 17:51 | 光影 ( 路人 | Rank:11 漏洞数:4 | 软件技术专业学生,沉静的娃儿……)

    @px1624 的确是那个,估计就是太容易了,那个8K主角才没有进入后台的……

  23. 2013-04-09 17:52 | 光影 ( 路人 | Rank:11 漏洞数:4 | 软件技术专业学生,沉静的娃儿……)

    @超人不会飞 事实上是5 rank

  24. 2013-04-09 18:11 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @光影 ...我了个去。。 ' or ''=' 不会是这个吧。。。

  25. 2013-04-09 20:39 | 光影 ( 路人 | Rank:11 漏洞数:4 | 软件技术专业学生,沉静的娃儿……)

    @px1624 差不多,现在该页面又恢复了,目测只是删掉测试账号

  26. 2013-04-28 18:26 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @光影 有做判断了、。。

  27. 2013-05-11 03:58 | heaven ( 路人 | Rank:23 漏洞数:14 | 不断学习。提高自我技术!)

    我到现在都不知道1rank是多少钱

  28. 2015-05-04 00:12 | ucifer ( 普通白帽子 | Rank:156 漏洞数:43 | 萌萌哒~)

    简直打脸~~