VULHUB ™

### 简要描述： RT，不知道重复没有 ### 详细说明： 信游科技页游平台SQL跨库注入漏洞 出问题的是这个演示页，不知道是不是测试站点。 POST注入点：http://xy001.52xinyou.cn/api/webaction.ashx posttype=user_login&password=88952634&rememberYN=1&login=88952634&callback=88952634&username=88952634 username实体存在注入 跑DB信息： [<img src="https://images.seebug.org/upload/201401/24160744da2468531194dbc307bf182025ed229e.png" alt="2014-1-24 14-25-50.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/24160744da2468531194dbc307bf182025ed229e.png) 跑库： [<img src="https://images.seebug.org/upload/201401/24160801351862888fd2e770578bfe231fd23d36.png" alt="2014-1-24 16-00-46.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/24160801351862888fd2e770578bfe231fd23d36.png) 跑库： [<img src="https://images.seebug.org/upload/201401/24160826adb7bd9993721b75eb75105e0bfc4856.png" alt="2014-1-24 16-01-49.png" width="600"...

### 简要描述： RT，不知道重复没有 ### 详细说明： 信游科技页游平台SQL跨库注入漏洞 出问题的是这个演示页，不知道是不是测试站点。 POST注入点：http://xy001.52xinyou.cn/api/webaction.ashx posttype=user_login&password=88952634&rememberYN=1&login=88952634&callback=88952634&username=88952634 username实体存在注入 跑DB信息： [<img src="https://images.seebug.org/upload/201401/24160744da2468531194dbc307bf182025ed229e.png" alt="2014-1-24 14-25-50.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/24160744da2468531194dbc307bf182025ed229e.png) 跑库： [<img src="https://images.seebug.org/upload/201401/24160801351862888fd2e770578bfe231fd23d36.png" alt="2014-1-24 16-00-46.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/24160801351862888fd2e770578bfe231fd23d36.png) 跑库： [<img src="https://images.seebug.org/upload/201401/24160826adb7bd9993721b75eb75105e0bfc4856.png" alt="2014-1-24 16-01-49.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/24160826adb7bd9993721b75eb75105e0bfc4856.png) 跑库： [<img src="https://images.seebug.org/upload/201401/241608439cb3940a7e5192796615a98afa8ac276.png" alt="2014-1-24 16-02-57.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/241608439cb3940a7e5192796615a98afa8ac276.png) 跑库： [<img src="https://images.seebug.org/upload/201401/24160949f9b08bea172b738fb23c0b2b7c05eea8.png" alt="2014-1-24 16-09-30.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/24160949f9b08bea172b738fb23c0b2b7c05eea8.png) 跑用户表： [<img src="https://images.seebug.org/upload/201401/241612046472a422827674b04564ab898d69102c.png" alt="2014-1-24 16-11-43.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/241612046472a422827674b04564ab898d69102c.png) 管理员信息： [<img src="https://images.seebug.org/upload/201401/2416141971ae7754941e1ff1663a9962537d934b.png" alt="2014-1-24 16-13-55.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/2416141971ae7754941e1ff1663a9962537d934b.png) ### 漏洞证明： 同上，仅做上报，不深入了，数据应该是很多的，29个库任意跨。