山东省某机动车管理平台漏洞（涉及12-16年驾驶员全部信息/信息量涉及千万/泄露大量学车人个人以及车辆信息/疑似可更改成绩）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0182469

漏洞标题：山东省某机动车管理平台漏洞（涉及12-16年驾驶员全部信息/信息量涉及千万/泄露大量学车人个人以及车辆信息/疑似可更改成绩）

漏洞作者：路人甲

提交时间：2016-03-09 11:40

修复时间：2016-04-25 16:50

公开时间：2016-04-25 16:50

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-03-09：细节已通知厂商并且等待厂商处理中
2016-03-11：厂商已经确认，细节仅向厂商公开
2016-03-21：细节向核心白帽子及相关领域专家公开
2016-03-31：细节向普通白帽子公开
2016-04-10：细节向实习白帽子公开
2016-04-25：细节向公众公开

简要描述：

详细说明：

**.**.**.**:9080/jdcjsy_rz/jxgl/pxjgloginAction.action 一切都要从这个st2命令执行说起。感觉shell的兼容性一定不能太好了，看了下是db2的数据库。不管是用菜刀还是大马都应该不太好。想了想服务器上肯定有db2 终端

<driver-url>jdbc:db2://localhost:50000/jdc_rzx</driver-url>
    <!-- <driver-url>jdbc:db2://LOCALHOST:50000/JDC_RZX</driver-url>--> 
    <driver-class>com.ibm.db2.jcc.DB2Driver</driver-class>
    <driver-properties>
      <property name="user" value="administrator"/>
      <property name="password" value="fxq7929)!!!"/>

没想到是管理员自己的账户
加了个账号。用自带db2终端查看了下数据库，数据量惊人，包括日照淄博多个山东地区的学车人信息以及车辆信息，涵盖12-16年。还包括前天的...
由于db2终端查询默认前100行。我就挑了几个表截取下内容。以此来证明危害。
两会期间，注意安全。服务器账号纯属测试使用...