当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143548

漏洞标题:浙江中控某网站SQL注入一览表

相关厂商:中控科技集团有限公司

漏洞作者: 路人甲

提交时间:2015-10-01 09:43

修复时间:2015-11-15 09:44

公开时间:2015-11-15 09:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-01: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

在互联网在裸奔是非常危险的事情.............

详细说明:

简直就是裸奔-----------
涉及:soft.supcon.com hr.supcon.com robot.supcon.com et.supcon.com
1.SQL注入(soft.supcon.com/code/newsview.php?nid=168)

图片1.png


2.脱库

图片1.png


还有很多sql注入就不一一列了。
地址:
http://soft.supcon.com/code/solutionsview.php?nid=165
http://hr.supcon.com/SocialJob/JobIndex?CPReceivingMode=%E8%81%8C%E8%83%BD%E7%AE%A1%E7%90%86%E7%B1%BB&TCompanyId=%a5'%20having%201=1--%20&JobName=&button=%E6%8F%90%E4%BA%A4
http://robot.supcon.com/Login.asp?yes=ok
http://robot.supcon.com/Reg.asp?yes=ok
同时的还有
1.PHPInfo信息泄露
http://soft.supcon.com/phpinfo.php
2.源代码信息泄露

图片1.png


3.目录遍历

图片1.png

漏洞证明:


图片1.png


图片1.png


修复方案:

网上搜索下,有解决方案的

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝