漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0115963
漏洞标题:南阳市公安局交通管理支队存在sql注入漏洞可导致泄露大量信息
相关厂商:南阳市公安局交通管理支队
漏洞作者: 路人甲
提交时间:2015-05-25 14:14
修复时间:2015-07-11 17:08
公开时间:2015-07-11 17:08
漏洞类型:内部绝密信息泄漏
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(公安部一所)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-25: 细节已通知厂商并且等待厂商处理中
2015-05-27: 厂商已经确认,细节仅向厂商公开
2015-06-06: 细节向核心白帽子及相关领域专家公开
2015-06-16: 细节向普通白帽子公开
2015-06-26: 细节向实习白帽子公开
2015-07-11: 细节向公众公开
简要描述:
南阳市公安局交通管理支队存在sql注入漏洞可导致泄露大量信息
详细说明:
http://www.nycgs.cn:80/BdMapServlet?xtlb=all&op=cxfwdd&dmlb=9825
注入点
20个数据库。包括系统数据库,全部都能获取到。。
大量信息泄露。。
漏洞证明:
数据库,服务器,脚本类型
数据库:
当前数据库:SER_NYCGS
Database: SYSMAN
[728 tables]
Database: WMSYS
[44 tables]
Database: CTXSYS
[50 tables]
Database: APPQOSSYS
[4 tables]
Database: EXFSYS
[47 tables]
Database: ORDDATA
[73 tables]
Database: MDSYS
[126 tables]
Database: SYS
[973 tables]
Database: JSRYDJ
[24 tables]
Database: SYSTEM
[161 tables]
Database: OLAPSYS
[126 tables]
Database: APEX_030200
[360 tables]
Database: SER_SHH
[59 tables]
Database: OWBSYS
[1 table]
Database: ORDSYS
[5 tables]
Database: XDB
[46 tables]
Database: FLOWS_FILES
[1 table]
Database: OUTLN
[3 tables]
Database: SER_NYCGS
[58 tables]
Database: DBSNMP
[24 tables]
1000多个表
这里就随便查看一个吧(ps:怕叔叔半夜查我水表,所以这里就随便读取一个表吧。。)
目标数据库:SER_NYCGS 表:FBWZ
列明:
内容
仔细看了一下,貌似是通话记录,还要一些用户信息等等隐私数据。这里怕涉及隐私,以及怕JC叔叔查水表,所以就给大家看这些了。。。。
就这样。。。
想脱裤完全没问题。。。
修复方案:
修复吧。。。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:7
确认时间:2015-05-27 17:06
厂商回复:
验证确认所描述的问题,已通知其修复。
最新状态:
暂无