青岛百丽广场mail注射一枚，泄露大量员工信息

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125358

漏洞标题：青岛百丽广场mail注射一枚，泄露大量员工信息

漏洞作者：路人甲

提交时间：2015-07-08 16:59

修复时间：2015-08-22 17:00

公开时间：2015-08-22 17:00

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：7

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-08：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-08-22：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

123

详细说明：

http://mail.marinacity.cn 很老的anymacro mail 竟然有注入。。。
注入了跑了下看到了大量内部员工信息。。。

漏洞证明：



mask 区域

*****---------------*****
*****               *****
*****---------------*****
*****  | 48  | admi*****
*****anytest@marinaci*****
*****@marinacity.cn *****
*****[email protected]*****
*****  | chengdaifen*****
*****chenhuaying@mari*****
***** 48  | chenji*****
*****liang@marinacit*****
*****chenqiang@taish*****
*****chenwenhao@taish*****
*****hong@taishandic*****
*****cissy@marinacit*****
*****arinacity.cn   *****
*****48  | cuiyuqi*****
*****  | 48  | cv*****
*****daimingli@taisha*****
*****48  | dengli*****
*****ohuangli@taisha*****
*****dingli@marinaci*****
*****dongbihai@taisha*****
*****qin@marinacity.*****
*****ngxuhua@taishan*****
*****neering@marinac*****
*****.min@marinacity*****
*****fangzhanchen@mar*****
*****feilin@marinaci*****
*****gaopeilei@marina*****
*****gaoyuan@marinac*****
*****gjiaen@marinaci*****
*****hongchao@marina*****
*****[email protected]*****
*****anzhe@marinacit*****
*****henderson.dong@m*****
*****  | houxijin@*****
*****| 48  | hr@ta*****
*****angbaojing@tais*****
*****ngjuan@marinaci*****
*****ngyanfang@taish*****
*****[email protected]*****
*****uiquan@marinaci*****
*****gxiaoxia@marina*****
*****jichunguang@tais*****
*****juhaiyan@marinac*****
*****juxiaoming@marin*****
*****kuangrongshuang*****
*****nlan@marinacity*****
*****g.hanrui@marina*****
*****libin@marinacit*****
*****lidan@marinacit*****
*****lijing@marinaci*****
*****linna@marinacit*****
*****linna@taishandi*****
*****linna_2@taishan*****
*****8  | Liping.So*****
***** | liping.song@*****
*****liruiqi@marinaci*****
*****liuguanhua@marin*****
*****iuhui@taishandi*****
*****ing@marinacity.*****
*****ali@marinacity.*****
*****48  | liuyu@*****
*****  | 48  | *****
*****  | liuyu@tai*****
*****lixia@taishandi*****
*****lixinran@marinac*****
*****liyongfeng@taish*****
*****[email protected]*****
*****a@taishandichan*****
*****macong@marinaci*****
*****malin@taishandi*****
*****nacity.qd@marin*****
*****maying@marinaci*****
*****mengqingjian@mar*****
*****nana@taishandic*****
*****nancysong@marina*****
*****nieyipin@marinac*****
*****ngfang@taishand*****
*****ixin@taishandic*****
***** 48  | qijiash*****
*****| 48  | qingz*****
*****bo@taishandicha*****
*****fei@marinacity.*****
*****[email protected]   *****
*****48  | server@t*****
*****njian@taishandi*****
*****songlin@marinac*****
*****  | songlixian*****
*****songshen@taisha*****
*****songwei@taishan*****
***** 48  | subin*****
*****fengjiao@marina*****
*****sunli@taishandi*****
*****48  | sunqi@*****
*****sunqing@taishan*****
*****iantian@marinac*****
*****unyiqiang@marina*****
*****| 48  | suny*****
*****suojun@marinaci*****
*****ouxiang@taishan*****
*****[email protected]*****
*****jie@marinacity.*****
*****@taishandichan.*****
*****tiangeng@marina*****
*****[email protected] *****
*****tiangeng@taisha*****
*****tina@marinacity*****
*****wanfei@taishand*****
*****wangchao@taisha*****
*****wangjun@taishan*****
*****wanglu@taishand*****
*****wangsaiyi@marina*****
*****wangshan@marina*****
*****wangting@marina*****
*****xiangfei@taisha*****
*****wangxiaomei@mari*****
*****wangxuan@marina*****
*****wangyang@taisha*****
*****wangyanni@marina*****
*****8  | wangzhao*****
*****wangzhenyu@taish*****
*****[email protected]      *****
*****[email protected]       *****
*****      | 48  | *****
*****hao@marinacity.*****
*****ongni@marinacit*****
*****xiaming@taishan*****
*****opengqin@taisha*****
*****hongbin@marinac*****
*****erongrong@taish*****
*****inyong@marinaci*****
*****xujinbo@marinaci*****
*****ing@marinacity.*****
*****xuqiongyu@marina*****
*****[email protected]*****
*****yangyang@taisha*****
*****yangyiyong@marin*****
*****48  | yanlin*****
*****[email protected]*****
*****yinhaiqing@marin*****
*****yinni@marinacit*****
*****wei@marinacity.*****
*****angying@marinac*****
*****zhangbaoling@mar*****
*****zhangbo@taishan*****
*****zhanghongyan@mar*****
*****48  | zhanghua*****
*****zhanglei@taisha*****
*****zhangmingwei@mar*****
*****zhangqian@taish*****
*****zhangsen@taisha*****
*****zhangshuo@taish*****
*****zhangtao@marina*****
*****zhangwei@taisha*****
*****zhangxiaoyan@mar*****
*****zhangyan@marina*****
*****gyaqian@taishan*****
***** 48  | zhaoj*****
*****8  | zhaoying*****
***** | zhaoying@ta*****
*****zhoujiejing@mari*****
*****zhoulei@marinac*****
*****48  | 工程^*****
*****---------------*****
**********
**********
1.http://**.**.**/admin/login.php

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125358

漏洞标题：青岛百丽广场mail注射一枚，泄露大量员工信息

相关厂商：青岛百丽广场

漏洞作者：路人甲

提交时间：2015-07-08 16:59

修复时间：2015-08-22 17:00

公开时间：2015-08-22 17:00

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：7

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0125358

漏洞标题：青岛百丽广场mail注射一枚，泄露大量员工信息

相关厂商：青岛百丽广场

漏洞作者： 路人甲

提交时间：2015-07-08 16:59

修复时间：2015-08-22 17:00

公开时间：2015-08-22 17:00

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：7

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0125358"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云