0x01: 罗嗦两句
看到 @her0ma 提交的漏洞 WooYun: 魔方某系统SQL注入漏洞(员工帐号密码手到擒来)
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
为神马要忽略呢、百思不得解;
sql注入出现在站点:http://oa.52mf.cn/ 上,
可以参考我之前提交的通用型漏洞 WooYun: 泛微某系统通用型SQL注入(无需登录)
这里提出的意见是:①多看看厂商的漏洞补丁信息②Wooyun.org搜索[泛微]查看是否有最新的漏洞出现
0x02: 漏洞详情
问题链接:
http://oa.52mf.cn/weaver/weaver.email.FileDownloadLocation?fileid=32&download=1
问题参数:fileid
数据库:Oracle
爆出当前数据库名称
爆出数据库“ECOLOGY”中所有的表名(因1394多张表,这里不一一列出,证明即可)
不再深入…