漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0121840
漏洞标题:首汽某分网SQL注入(已SHELL)
相关厂商:北京首汽(集团)股份有限公司
漏洞作者: 路人甲
提交时间:2015-06-24 14:51
修复时间:2015-08-12 07:26
公开时间:2015-08-12 07:26
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-28: 厂商已经确认,细节仅向厂商公开
2015-07-08: 细节向核心白帽子及相关领域专家公开
2015-07-18: 细节向普通白帽子公开
2015-07-28: 细节向实习白帽子公开
2015-08-12: 细节向公众公开
简要描述:
北京首汽(集团)股份有限公司是国内领先的全方位汽车服务提供商,在中国旅游汽车行业中历史最久、规模最大、综合接待能力最强。前身为1951年由周恩来总理亲自命名成立的首都汽车公司。经过半个多世纪的发展,已成为集汽车客运、汽车销售与维修、汽车租赁、成品油销售于一体的企业集团。所属企业十二家,拥有车辆万余部,员工近万人。
半个多世纪以来,首汽走过了风风雨雨。到2000年以前,大体可分为四个历史时期:组建诞生期、平稳发展期、改革开放转型期、多种经营和股份制探索期。
1951年首汽公司成立
1951年首汽正式挂牌
1951年首批车辆到位
1954年完成全国一次人大、政协三次会议接待
1956年公私合营制开始
1956年第一家民用出租站组建
1956年北京第一份租车暂行办法
1956年首汽推出结婚彩车
1956年首汽初具规模
1956年首汽开始引进复转军人
1956年首汽国宾队成立
1956年首汽推出订车电话
1957年首汽成为北京唯一出租公司
1958年首汽服务中央领导
1959年执行共和国十年庆典
1971年首汽承载新中国外交服务
1973年首汽进口日本车
1973年首汽确立服务范围
1976年首汽安稳度文革
1984年首汽走入市场经济
1984年首汽在同行业中率先改革
1985年首汽尝试贷款购车
1985年首汽开始多元化发展
1986年首汽推出十项工作标准化
1986年首汽涌现众多劳模
1986年首汽接待多国领导人
1986年首汽开办大专班
1991年首汽执行党的十四大
1992年首汽企业报创刊
1993年首汽股份成立
1993年首汽大学生脱产培训
1994年首汽集团成立
1994年首汽热心公益事业
1994年首汽国宾队获殊荣
1994年首汽推出夏利车
1995年副市场李润伍视察
1996年首汽推出救援业务
1996年首汽推出六项服务承诺
1996年首汽城市之光大厦建工
1996年首汽实行全员劳动合同
1996年副市长陆宇澄视察
1997年市长贾庆林视察
1999年首汽出租车变身碧海蓝
1999年首汽建立大众汽车维修站
详细说明:
首先我们得从一个万能密码开始
进入oa 后 点击 后台管理 再然后点击 信息发布
然后找到一个上传点
可上传 asp;jpg 类型的文件绕过文件限制
菜刀连接
权限还是蛮大的 这里就不深入了
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-06-28 07:25
厂商回复:
CNVD确认所述情况,已经转由CNCERT下发给北京分中心,由其后续协调网站管理单位处置。
最新状态:
暂无