卢松松博客网站存在安全漏洞可导致全部沦陷

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150453

漏洞标题：卢松松博客网站存在安全漏洞可导致全部沦陷

漏洞作者：路人甲

提交时间：2015-10-30 12:35

修复时间：2015-12-14 12:36

公开时间：2015-12-14 12:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-10-30：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-12-14：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

博客站权重挺高的，流量也挺多，但是总体安全性不高

详细说明：

话说事情是这个样子的，一直很喜欢卢哥的博客，部分文章写的真心不错（滔滔江水），卢哥要带带小弟啊...（此处略去十万字）
话说我偶然之间发现了一个注入点（http://ruanwen.lusongsong.com/anli/anliinfo.php?ID=88）

dump出数据，找到账号密码登录

卢哥好有钱啊----土豪咱们做朋友吧
上传一句话，上菜刀

http://ruanwen.lusongsong.com/upload/headpic/style.php  wooyuntu

http://lusongsong.com/zb_system/login.asp 到这里我就不连接数据库了卢哥快点修复吧

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150453

漏洞标题：卢松松博客网站存在安全漏洞可导致全部沦陷

相关厂商：卢松松博客网

漏洞作者：路人甲

提交时间：2015-10-30 12:35

修复时间：2015-12-14 12:36

公开时间：2015-12-14 12:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150453

漏洞标题：卢松松博客网站存在安全漏洞可导致全部沦陷

相关厂商：卢松松博客网

漏洞作者： 路人甲

提交时间：2015-10-30 12:35

修复时间：2015-12-14 12:36

公开时间：2015-12-14 12:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：18

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0150453"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云