漏洞标题 了解如何随意查询微博用户的手机信息和电子邮件地址。 相关制造商 新浪 漏洞作者 SCANF 提交时间 2016-04-30 21: 09 公共时间 2016-06-17 17: 50 漏洞类型 系统/服务操作和维护配置不当 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 漏洞详细信息 第一个redis无权访问 http://115.182.85.139/secure/ 看到它是新浪 Redis 115.182.85.139 我发现有一个黑色。
然后我写了一个计划任务,弹回shell 根权威
然后代理进入内联网 然后发现无法访问邮箱 http://10.219.18.63/任何上传 管理员在提交时已关闭服务器。
http://forum.internal.sina.com.cn/idc/main/list.asp 存在注入
端口扫描
移动微博开发高学[电子邮件 保护]/* 登录svn
漏洞证明: 好好找一个微博修复背景,有未经授权的访问。
可以做很多事情
在里面,您可以查看微博用户的信息,包括邮箱电话号码等。 让我们看看需要什么条件。 嗯需要uid和昵称 让我们和王思聪的全国丈夫微博一起测试吧。 我在她的个人页面上得到了uid和昵称。
修理计划: 量. 版权声明:请注明源scanf @乌云