当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-047644

漏洞标题:国家体育总局训练局多种漏洞(sql注入、信息泄露等)

相关厂商:国家体育总局

漏洞作者: 疾风

提交时间:2014-01-02 11:37

修复时间:2014-02-16 11:37

公开时间:2014-02-16 11:37

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-02: 细节已通知厂商并且等待厂商处理中
2014-01-07: 厂商已经确认,细节仅向厂商公开
2014-01-17: 细节向核心白帽子及相关领域专家公开
2014-01-27: 细节向普通白帽子公开
2014-02-06: 细节向实习白帽子公开
2014-02-16: 细节向公众公开

简要描述:

国家体育总局(某站)惊现:敏感文件下载;Sql注射;xss等多种漏洞,危及网站及数据安全

详细说明:

国家体育总局训练局漏洞集合:
漏洞(1)敏感文件下载:说白了就是网站用于备份的文件直接以.rar的压缩文件格式保存在了web程序目录中。导致可以任意下载!
地址:http://www.xljcg.net/xljcg.rar
漏洞(2)Sql注射漏洞:
注入点:http://www.xljcg.net/cp/class/?6.html&showtj=1 showtj=1
漏洞(3)xss跨站脚本攻击:
地址http://www.xljcg.net/news/class/index.php?0.html&page=2&showtj=&showhot=&author=&key= key=

漏洞证明:

漏洞(1)敏感文件下载:

.jpg


漏洞(2)Sql注射漏洞:

.jpg


管理员账号:@1:webmaster|d4bc95d49e83d3d6b3e194a246036574
解密密码=012820
@2:rwpk8936 83dc6db175144e18cb8ca92a5af11a37
测试登陆某用户(ps:文件一大堆,由于时间有限也没来得及找管理员登陆地址!想解密吧。cmd5还收费我也木有会员)账号

.jpg


漏洞(3)xss跨站脚本攻击:

xss测试.jpg


基友说:政府站要么不通过忽略要么审核慢!给的Rank少的可怜,
我就不信了
~~~~~~~~~~~~~嘻嘻

修复方案:

删除备份,或者将网站的备份文件移到其他的磁盘中,最好不要放在跟web程序相同目录中尤其是web程序根目录!过滤。。。。。。。。
你们各位大大都懂得,我就在此不多说了!

版权声明:转载请注明来源 疾风@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-01-07 08:37

厂商回复:

CNVD确认并复现所述情况,对于非.gov.cn站点,已经由CNVD通过网站公开的电话和邮件联系方式,直接联系上网站管理方,向其通报漏洞情况。按多个漏洞进行评分,rank 16

最新状态:

暂无