某资产监管管理系统SQL注入漏洞 | wooyun-2014-062613| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-062613

漏洞标题：某资产监管管理系统SQL注入漏洞

漏洞作者：路人甲

提交时间：2014-05-28 12:47

修复时间：2014-08-26 12:48

公开时间：2014-08-26 12:48

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-28：细节已通知厂商并且等待厂商处理中
2014-06-01：厂商已经确认，细节仅向厂商公开
2014-06-04：细节向第三方安全合作伙伴开放
2014-07-26：细节向核心白帽子及相关领域专家公开
2014-08-05：细节向普通白帽子公开
2014-08-15：细节向实习白帽子公开
2014-08-26：细节向公众公开

简要描述：

疑似通用，来刷点门票钱~

详细说明：

1.无意间看见的，很高大上呀~；

2.无验证码，后台登陆框SQL注入；

3.获取到的库信息；

4.表信息~未继续深入了；

Database: YLRD
[133 tables]
+-------------------------+
| DAT_BANKUSER            |
| DAT_BGFJB               |
| DAT_BGYPMXB             |
| DAT_BGYPSBB             |
| DAT_BXGSB               |
| DAT_BXQKB               |
| DAT_BZJMXB              |
| DAT_DAJJB               |
| DAT_DAJJMXB             |
| DAT_DBQKB               |
| DAT_DBQKDBRB            |
| DAT_DKMXB               |
| DAT_FXKZB               |
| DAT_FXKZB_YJB           |
| DAT_GDGCB               |
| DAT_GZBGB               |
| DAT_GZHBB               |
| DAT_GZHBB_HBBM          |
| DAT_HKMXB               |
| DAT_JGFZB               |
| DAT_JGYMXB              |
| DAT_JGZCYB              |
| DAT_KCFJB               |
| DAT_KPMXB               |
| DAT_LXRXXB              |
| DAT_MENU                |
| DAT_QYKCB               |
| DAT_QYKCMXB             |
| DAT_QYKCMXB_BAK         |
| DAT_QYKCMXB_BAK20111221 |
| DAT_QYXXB               |
| DAT_QYXXB_CFDD          |
| DAT_QYXXB_CWXX          |
| DAT_QYXXB_JGY           |
| DAT_QYXXB_ZYWZL         |
| DAT_SFMXB               |
| DAT_SFXYB               |
| DAT_SRFCB               |
| DAT_SRFCMXB             |
| DAT_WJFJB               |
| DAT_WJXXB               |
| DAT_WJXXB_READRECORD    |
| DAT_XTYHB               |
| DAT_YHXXB               |
| DAT_YJMXB               |
| DAT_YJSBB               |
| DAT_YJSRB               |
| DAT_YJSRJHB             |
| DAT_YJSRPMB             |
| DAT_YPMXB               |
| DAT_YSPPZB              |
| DAT_YSPSBB              |
| DAT_YSPSBMXB            |
| DAT_YWFJB               |
| DAT_YWJGB               |
| DAT_YWJGB_CZR           |
| DAT_YWJGB_GD            |
| DAT_YWJGB_SFXY          |
| DAT_YWJGB_XGJL          |
| DAT_YWMXB               |
| DAT_YWSBB               |
| DAT_YWSBBCFFSB          |
| DAT_YWSBBDBFSB          |
| DAT_YWSBBXZLB           |
| DAT_YWSBB_CZR           |
| DAT_YWSBB_DBR           |
| DAT_YWSB_FJB            |
| DAT_YWTZB               |
| DAT_YWTZB_FJB           |
| DAT_YWTZMXB             |
| DAT_YWYJB               |
| DAT_YWYJB_CFDD          |
| DAT_YWYJB_CZR           |
| DAT_ZCZSB               |
| DAT_ZDJKB               |
| DAT_ZDJKB_MX            |
| DAT_ZHFJB               |
| DAT_ZXQSB               |
| DAT_ZXQSB_BM            |
| DAT_ZYWKCB              |
| DAT_ZYWYJMXB            |
| DAT_ZYWZHB              |
| DAT_ZYWZHMXB            |
| DIC_BANK                |
| DIC_BANKCLASS           |
| DIC_BANKTYPE            |
| DIC_BGYPB               |
| DIC_BMBHB               |
| DIC_BXZLB               |
| DIC_CFFSB               |
| DIC_CKXZB               |
| DIC_DAMXB               |
| DIC_DAZLB               |
| DIC_DBFSB               |
| DIC_DBRLBB              |
| DIC_DICTABLES           |
| DIC_DKXZB               |
| DIC_DQBHB               |
| DIC_DQJBB               |
| DIC_FXDJB               |
| DIC_FXKZYJLBB           |
| DIC_GSBHB               |
| DIC_GSJBB               |
| DIC_GZHBZL              |
| DIC_HYZLB               |
| DIC_JKLBB               |
| DIC_JKYYB               |
| DIC_JLDWB               |
| DIC_JTGJB               |
| DIC_JYFSB               |
| DIC_MENUITEM            |
| DIC_QYXZB               |
| DIC_SBZTB               |
| DIC_SFKSSJB             |
| DIC_SFQCB               |
| DIC_USERROLE            |
| DIC_USERSTAT            |
| DIC_WBLBB               |
| DIC_WJFLB               |
| DIC_WJZTB               |
| DIC_XYZTB               |
| DIC_YJJBB               |
| DIC_YJZTB               |
| DIC_YWSB_FJLBB          |
| DIC_YWZTB               |
| DIC_ZHFSB               |
| DIC_ZYPZB               |
| FYGSB                   |
| PLAN_TABLE              |
| REPSTAT                 |
| TMPREP_SJKC1            |
| TMPREP_SJKC2            |
| TMP_ZYWZHMXB            |
+-------------------------+

漏洞证明：

见详细说明

修复方案：

见详细说明

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-06-01 23:03

厂商回复：

CNVD确认并复现所述情况，由CNVD通过公开渠道联系网站管理方处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-062613

漏洞标题：某资产监管管理系统SQL注入漏洞

相关厂商：中融通

漏洞作者：路人甲

提交时间：2014-05-28 12:47

修复时间：2014-08-26 12:48

公开时间：2014-08-26 12:48

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-062613

漏洞标题：某资产监管管理系统SQL注入漏洞

相关厂商：中融通

漏洞作者： 路人甲

提交时间：2014-05-28 12:47

修复时间：2014-08-26 12:48

公开时间：2014-08-26 12:48

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-062613"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云