当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145915

漏洞标题:陕西证券期货业协会漏洞导致内部信息泄露

相关厂商:陕西证券期货业协会

漏洞作者: 路人甲

提交时间:2015-10-11 22:12

修复时间:2015-11-30 14:28

公开时间:2015-11-30 14:28

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-11: 细节已通知厂商并且等待厂商处理中
2015-10-16: 厂商已经确认,细节仅向厂商公开
2015-10-26: 细节向核心白帽子及相关领域专家公开
2015-11-05: 细节向普通白帽子公开
2015-11-15: 细节向实习白帽子公开
2015-11-30: 细节向公众公开

简要描述:

RT

详细说明:

http://**.**.**.**/login.aspx
单引号报错,存在post注入.
抓包跑下。

| A0029    | 0017DCDBAA0947D9 |
| A0029    | 0017DCDBAA0947D9 |
| A0021    | 0E28C158E21BE229 |
| A0046    | 1F06994757878E53 |
| A0037    | 24507A3FC4CE8453 |
| A0020    | 49BA59ABBE56E057 |
| A0028    | 4C3365A78527ECF9 |
| A0042    | 51F77B4EDFAB580B |
| A0031    | 5F63695EEF870EF8 |
| A0001    | 6472D67DC6F81165 |
| A0049    | 6C5887F0EDBFC9FD |
| A0039    | 7294F24AAEF68E12 |
| A0039    | 7294F24AAEF68E12 |
| A0000    | 7A57A5A743894A0E |
| A0051    | 7DB836C96C1C932C |
| A0016    | 8FE36682EEB95FD3 |
| A0025    | 965EB72C92A549DD |
| A0034    | A0D369CE35050532 |
| A0048    | A31DB49F79722542 |
| A0030    | BFC827678193E77B |
| A0023    | BFEA999FF13FD1F7 |
| A0045    | C18E26976FA58862 |
| A0005    | C831B04DE153469D |
| A0019    | CBEA7D98B35E9A8E |
| A0019    | CBEA7D98B35E9A8E |
| A0044    | CEF0B075A3967D50 |
| A0033    | D58503A04FBC1C09 |
| A0027    | DD455152E619F9B3 |
| A0038    | E4BAABC2C7EFB607 |
| A0024    | F4F2D010965C9667 |
| A0047    | F7EFBF3441B80532 |
| A0012    | FDE1E3F712DD579A |
| A0008    | FF582281E69BB64D |
+----------+------------------+


user:A0008 PASS:207106

QQ图片20151010231402.png


可上传webshell。
http://**.**.**.**//uploadfiles/201510/1.aspx adminss

QQ图片20151010231520.png


漏洞证明:

http://**.**.**.**/login.aspx
单引号报错,存在post注入.
抓包跑下。

| A0029    | 0017DCDBAA0947D9 |
| A0029    | 0017DCDBAA0947D9 |
| A0021    | 0E28C158E21BE229 |
| A0046    | 1F06994757878E53 |
| A0037    | 24507A3FC4CE8453 |
| A0020    | 49BA59ABBE56E057 |
| A0028    | 4C3365A78527ECF9 |
| A0042    | 51F77B4EDFAB580B |
| A0031    | 5F63695EEF870EF8 |
| A0001    | 6472D67DC6F81165 |
| A0049    | 6C5887F0EDBFC9FD |
| A0039    | 7294F24AAEF68E12 |
| A0039    | 7294F24AAEF68E12 |
| A0000    | 7A57A5A743894A0E |
| A0051    | 7DB836C96C1C932C |
| A0016    | 8FE36682EEB95FD3 |
| A0025    | 965EB72C92A549DD |
| A0034    | A0D369CE35050532 |
| A0048    | A31DB49F79722542 |
| A0030    | BFC827678193E77B |
| A0023    | BFEA999FF13FD1F7 |
| A0045    | C18E26976FA58862 |
| A0005    | C831B04DE153469D |
| A0019    | CBEA7D98B35E9A8E |
| A0019    | CBEA7D98B35E9A8E |
| A0044    | CEF0B075A3967D50 |
| A0033    | D58503A04FBC1C09 |
| A0027    | DD455152E619F9B3 |
| A0038    | E4BAABC2C7EFB607 |
| A0024    | F4F2D010965C9667 |
| A0047    | F7EFBF3441B80532 |
| A0012    | FDE1E3F712DD579A |
| A0008    | FF582281E69BB64D |
+----------+------------------+


user:A0008 PASS:207106

QQ图片20151010231402.png


可上传webshell。
http://**.**.**.**//uploadfiles/201510/1.aspx adminss

QQ图片20151010231520.png

修复方案:

233

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-10-16 14:26

厂商回复:


CNVD确认并复现所述情况,已经转由CNCERT向证券业信息化主管部门通报,由其后续协调网站管理单位处置。

最新状态:

暂无