搜狗某配置不当可泄露密码管理数据库

话说phpmyadmin有个setup的东东,如果配置不当,可以直接看到数据库账号密码,看我截图步骤:
http://sbs.m.sogou.com/phpmyadmin/setup/index.php

由此,得数据库地址及账号密码分别如下:
地址:main.tcm.rds.sogou
用户名:pfms
密码:pfms12345678

用上面的账号登陆看看,http://sbs.m.sogou.com/phpmyadmin/index.php

该账号权限偏低,就不getshell献丑了,同时附赠几个小漏洞吧~

http://sbs.m.sogou.com/index.php/site/login 无线Side-by-side系统
用户名:guest
密码:123456

http://sbs.m.sogou.com/f/ 目录遍历
找出了几个敏感文件,内有数据库连接信息,如下:

http://sbs.m.sogou.com/f/code/main.py

db = MySQLdb.connect("search04.mysql.db.sogou-op.org", "vrfront", "sbsSafety", "VR_SBS", charset='utf8')
#db = MySQLdb.connect("localhost", "root", "", "VR_SBS2", charset='utf8')

http://sbs.m.sogou.com/f/code/iptest.py

db = MySQLdb.connect("search04.mysql.db.sogou-op.org", "frontoms", "frontoms", "sogou_oms", charset='utf8')
#db = MySQLdb.connect("localhost", "root", "", "VR_SBS2", charset='utf8')

http://sbs.m.sogou.com/f/newcode/db.py

HOST = "search04.mysql.db.sogou-op.org"
USERNAME = "vrfront"
PASSWORD = "sbsSafety"
DATABASE = "VR_SBS"
CHARSET = "utf8"
# HOST = "10.11.195.224"
# USERNAME = "root"
# PASSWORD = ""
# DATABASE = "sbs"
# CHARSET = "utf8"
本文链接:https://www.moyan.net.cn/wooyun/1151.html
本文标题:搜狗某配置不当可泄露密码管理数据库
本文声明:如无特殊说明,您可以自由转载本文,但需标注转载自莫言斋(https://www.moyan.net.cn/)。本站部分文章信息来源于互联网及公开渠道,如侵犯到您的权益,请及时联系我们(94372#qq.com)处理!
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇