该系统存在注入、越权操作等高危漏洞。泄露大量全省住房公积金数据、湖北省建筑工程管理局OA系统数据、湖北八大员考试数据,住房保证和房产管理局数据。。。
该系统存在各种高危漏洞,愿管理员引起重视。以下是一些特别明显的漏洞~
1、越权遍历漏洞第一处
2、遍历漏洞第二处
3、越权访问、注入操作漏洞。
遍历:
注入payload
4、注入漏洞
注入payload
5、越权访问、注入漏洞(危害最大的一处)
注入payload:
1、第一处遍历(http://59.175.169.110:6080/ZRDJ_UI/Count/personDetail.aspx?sqbh=220238)
2、第二处遍历(http://59.175.169.110:6080/ZRDJ_UI/FamilyManage1.aspx?keyId=2213008)
3、第三处遍历、越权(http://59.175.169.110:6080/User/UserEdit.aspx?keyId=8)
该账户名为:jianglingxian
修改密码为:201593test
登录地址:http://59.175.169.110:6080/
(测试之后,密码已经重置)
4、注入信息
只贴上当前库的数据量
其它库里面包含全省住房公积金数据、湖北省建筑工程管理局OA系统数据、湖北八大员考试数据,住房保证和房产管理局数据
PS:抛开这几个漏洞不算,里面其实很多的后台注入。甚至,登录框都存在盲注。望引起重视