漏洞概要
关注数(24)
关注此漏洞
漏洞标题:英雄互娱旗下通用型SQL注入(全名枪战/天天炫舞/夏目的美丽日记/功夫全明星)管理后台沦陷
提交时间:2016-01-15 00:25
修复时间:2016-02-27 11:49
公开时间:2016-02-27 11:49
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-15: 厂商已经确认,细节仅向厂商公开
2016-01-25: 细节向核心白帽子及相关领域专家公开
2016-02-04: 细节向普通白帽子公开
2016-02-14: 细节向实习白帽子公开
2016-02-27: 细节向公众公开
简要描述:
不知道如何getshell 也没继续看~
详细说明:
只要是游戏官网可以打开/m/list.html?cid=1基本都有注入
参数cid
http://xm.yingxiong.com/m/list.html?cid=1 (GET)
http://demo.yingxiong.com/m/list.html?cid= (GET)
我就不一一贴了
最后发现管理账号都市qq@qq.com 密码能解开两个 !rjkXM 和 rfF4gi 使用这个两个密码基本没什么阻碍了
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:9
确认时间:2016-01-15 14:43
厂商回复:
漏洞存在
最新状态:
暂无
漏洞评价:
评价
-
2016-01-15 00:30 |
dslxin ( 普通白帽子 | Rank:136 漏洞数:35 | 岁月你别催)
-
2016-01-15 09:35 |
Aasron ( 普通白帽子 | Rank:215 漏洞数:59 | 工欲善其事,必先利其器)
-
2016-01-15 10:48 |
_Thorns ( 普通白帽子 | Rank:1662 漏洞数:248 | WooYun is the Bigest gay place. 网络工...)
-
2016-01-15 12:13 |
天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:1231 漏洞数:342 | 本乌云账户唯一QQ 177712xx4)
我已经不想说话了···明天我就换个账号 这个账号不能用了
-
2016-01-15 12:47 |
mango ( 核心白帽子 | Rank:1868 漏洞数:275 | 出一份微不足道的"力")
@天地不仁 以万物为刍狗 @_Thorns 哈哈哈