破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

M1905.COM某处SQL注射漏洞(涉及64个表的数据)

编号221332
Urlhttp://www.wooyun.org/bug.php?action=view&id=221332
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题M1905.COM某处SQL注射漏洞(涉及64个表的数据)
漏洞类型SQL注射漏洞
厂商M1905.COM
白帽子万年死宅
提交日期2016-06-20 21:50:00
公开日期2016-06-26 12:32:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签php+数字类型注射
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank0
漏洞简介
刚才问王松哥哥用baidu有没可能搜到大厂的注射。他说google和bing有可能,然后,这个漏洞就被我捡到了。。。
感谢王松哥哥。
求上首页~~
漏洞细节

声明,没动数据,可查日志。
注入点:

http://g.1905.com/index.php?m=Home&c=newsdetail&a=index&id=1514


参数:id(GET)

1.png

POC

漏洞:

1.png


数据库:

1.png


game库里的表:

1.png


就不再深入。。。。。

修复方案

过滤

状态信息 2016-06-20: 细节已通知厂商并且等待厂商处理中
2016-06-20: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-26: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None漏洞Rank:15 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2016-06-26 12:32
Showing 1-4 of 4 items.
评论内容评论人点赞数评论时间

@池寒 ...

万年死宅02016-06-21 11:17:00

路过~围观~

池寒02016-06-21 07:11:00

@药尘 嘿嘿。。

万年死宅02016-06-20 23:17:00

嗷嗷嗷~感谢王松哥哥~

药尘02016-06-20 22:30:00