至顶网多处SQL注入下载
-
来源:黑吧安全网 浏览:606次 时间:2014-06-18
至顶网多处SQL注入
google关键字:site:.zdnet.com.cn inurl:subclass -site:server.zdnet.com.cn
利用-来排除重复的,然后一个个试
1.http://security.zdnet.com.cn/files/search.php?date=201405&subclass=707
2.http://stor-age.zdnet.com.cn/files/search.php?date=201405&subclass=728
3.http://mobile.zdnet.com.cn/files/search.php?date=201305&subclass=979
4.http://net.zdnet.com.cn/files/search.php?date=201405&subclass=679
5.http://ec.zdnet.com.cn/files/searchs.php?date=&subclass=
6.http://video.zdnet.com.cn/files/search.php?subclass=0&t=0
7.http://server.zdnet.com.cn/files/search.php?subclass=0&t=0
8.http://download.zdnet.com.cn/files/search.php?subclass=0&t=0&p=5&sort=&brief=&manu_name=&key=&category=&os=&publish_date=&licence=&hit=&size=
9.http://download.zdnet.com.cn/files/search.php?subclass=0&t=0&p=5&sort=&brief=&manu_name=&key=&category=&os=&publish_date=&licence=&hit=&size=
10.http://soft.zdnet.com.cn/files/search.php?date=200710&subclass=0&p=2
直接放到sqlmap跑就是了,发现1、2、3是可以直接注入的(ec.zdnet.com.cn和server.zdnet.com.cn已经被提交过,就不测试了,其它的未深入测试)
1.security.zdnet.com.cn
2.stro-age.zdnet.com
3.mobile.zdnet.com
修复方案:
1.千万要举一反三,别指哪补哪儿
2.过滤吧
下一篇: [公开漏洞]齐家网DBA类SQL注入一枚