当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-055461

漏洞标题:北京医药行业协会SQL注入累及十多个网站和一台服务器

相关厂商:北京医药行业协会

漏洞作者: Forever80s

提交时间:2014-04-22 17:14

修复时间:2014-06-06 17:15

公开时间:2014-06-06 17:15

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-22: 细节已通知厂商并且等待厂商处理中
2014-04-27: 厂商已经确认,细节仅向厂商公开
2014-05-07: 细节向核心白帽子及相关领域专家公开
2014-05-17: 细节向普通白帽子公开
2014-05-27: 细节向实习白帽子公开
2014-06-06: 细节向公众公开

简要描述:

详细说明:

sqlserver 注入
http://www.bppa.org.cn/ReadNews.asp?BigClassID=6&SmallClassID=30&SpecialID=0SmallClassName=&BigClassName=&NewsID=8172
getshell 后发现web服务器是系统权限

QQ截图20140403220127.png


QQ截图20140403220208.png


可成功拿下服务器

QQ截图20140403220300.png


同服务器下挂大10几个网站均遭殃

QQ截图20140403220317.png

QQ截图20140403220338.png


漏洞证明:

同上

QQ截图20140403220231.png


影响一下网站

信息中心 - 鹤麒医药
lhyyw.com/xinxi/index.aspTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
招标中心
lhyyw.com/zhaobiao/login.aspTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
学术中心 - 鹤麒医药
lhyyw.com/xueshu/index.aspTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
相关链接 - 鹤麒医药
lhyyw.com/link.aspTranslate this page
鹤麒医药网诚征友情链接,如果您有和我们交换链接的需要,请发信联系我们。另外提供您网站的logo,尺寸要求100×40象素。
取回密码 - 鹤麒医药网采购平台2.0:
caigou.heqi.com.cn/forgetpw.aspTranslate this page
取回密码 由于平台的采购人员可能发生变动,为保证企业和友医院的利益不受损害,如果您在不知道旧密码的情况下需要更改 ...
招标中心 - 鹤麒医药
www.heqi.cn/zhaobiao/login.aspTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
caigou.heqi.cn
caigou.heqi.cnTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2004-0001 国家食品药品监督管理局批准从事互联网 ...
双歧杆菌制剂临床新用 - 信息中心
www.heqi.cn/xinxi/detail.asp?id=4664Translate this page
双歧杆菌是1899年国外学者从母乳营养儿的粪便中分离出的一种厌氧的革兰氏阳性杆菌,末端常常分叉,故名双歧杆菌。
北京医药行业协会信息周报(5月25日)_协会 ...
new.bppa.org.cn/ReadNews.asp?NewsID=4953&BigClass...Translate this page
北京医药行业协会信息周报 . 2010 年 5 月 25 日 产业大势 . 药业论道 . 1300% 的药品暴利是如何出现的? 一种出厂价 15.5 元的 ...
[DOC]
卫生部部属医疗机构药品集中招标采购
project.heqi.com.cn/hqzb-2007-01/biaoshu.doc · Web view
Title: 卫生部部属医疗机构药品集中招标采购 Author: pc04 Last modified by: zn Created Date: 9/24/2007 5:27:00 AM Company: 鹤麒医药
北京普瑞快思医药咨询有限公司
www.rx-consultant.net/News.asp?ID=203Translate this page
数据服务部; 市场研究部; 数据中心; 医院事务部; 资源共享. 抗生素领域处方分析; 医院处方分析合作项目简报; 处方分析采样标准
北京医药行业协会器械分会
qixie.bppa.org.cnTranslate this page
地 址: 北京市丰台区宋家庄苇子坑148号(北京医药集团教育培训中心院内) 邮政编码: 100079 联系电话 ...
立足服务 推动发展_北京生物医药创新促进 ...
www.bppa.org.cn/ReadNews.asp?NewsID=7855&BigClass...Translate this page
立足服务 推动发展——北京生物医药创新促进平台组织药物安全性评价与 创新性药物研发及 gmp 论坛
用户登录
jc.heqi.com.cnTranslate this page
用户名: 密 码: 验证码:
招标中心 - 鹤麒医药
www.heqi.cn/zhaobiao/login.aspTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
招投标系统登录
project.heqi.com.cn · Translate this page
用户id : 密码 ... 用户id : 密码
[PDF]
附录AAA A
qixie.bppa.org.cn/htmlimg/file/2011/安全试验110条.pdf
6.4 符号 a) 若适用,6.1~6.3的符号应符合附录D的要求。 b) 若适用,用于控制器和表示性能的符号应符合
caigou.heqi.cn
caigou.heqi.cnTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2004-0001 国家食品药品监督管理局批准从事互联网 ...
北京医药行业在线培训系统
train.bppa.org.cnTranslate this page
质量管理员继续教育 网络课程版(试运营)! 注意: 1、本课程做不是很好,希望大家能在学习过程中多提好的意见:
客户服务中心
www.heqi.com.cn/kefuTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
双歧杆菌制剂临床新用 - 信息中心
www.heqi.cn/xinxi/detail.asp?id=4664Translate this page
双歧杆菌是1899年国外学者从母乳营养儿的粪便中分离出的一种厌氧的革兰氏阳性杆菌,末端常常分叉,故名双歧杆菌。
__-www.bppa.org-
new.bppa.org.cn/BigClass.asp?BigClassID=2&BigClass...Translate this page
登天安门城楼 放飞梦想 (2014-3-20 14:38:52 ) 协会支部组织党员学习 ...
取回密码 - 鹤麒医药网采购平台2.0:
caigou.heqi.com.cn/forgetpw.aspTranslate this page
取回密码 由于平台的采购人员可能发生变动,为保证企业和友医院的利益不受损害,如果您在不知道旧密码的情况下需要更改 ...
__-www.bppa.org-
new.bppa.org.cn/BigClass.asp?BigClassID=1&BigClass...Translate this page
鍏充簬鍗忎細 协会简介 协会章程 组织机构 部门职责 入会须知 会员动态
北京医药行业协会
bppa.org.cnTranslate this page
含协会介绍、协会动态、行业聚焦、协会期刊、京药快讯、政策药事、医药论坛、研究报告等栏目。
北京普瑞快思医药咨询有限公司
www.rx-consultant.netTranslate this page
北京普瑞快思医药咨询有限公司设有:信息技术部、客户服务部、数据中心、市场研究部、财务部、人力资源部等职能部门。
鹤麒医药
www.heqi.com.cnTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
北京医药行业协会器械分会
qixie.bppa.org.cnTranslate this page
地 址: 北京市丰台区宋家庄苇子坑148号(北京医药集团教育培训中心院内) 邮政编码: 100079 联系电话 ...
门户 -
tdmchina.orgTranslate this page
刘皋林 副主任委员,上海交通大学附属第一人民医院药学部主任、临床药理教研室主任,主任药师 杜冠华
立足服务 推动发展_北京生物医药创新促进 ...
www.bppa.org.cn/ReadNews.asp?NewsID=7855&BigClass...Translate this page
立足服务 推动发展——北京生物医药创新促进平台组织药物安全性评价与 创新性药物研发及 gmp 论坛
北京紫云腾中药饮片有限公司
zytzy.comTranslate this page
备案许可证号:京icp备11012853号
中国药理学会治疗药物监测研究专业委员会 ...
www.tdmchina.org/portal.php?mod=view&aid=4Translate this page
中国药理学会治疗药物监测研究专业委员会组织结构 . 2012-3-6 10:28 | 发布者: admin | 查看: 4085 | 评论: 0
客户服务中心
www.heqi.com.cn/about.aspTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
[PDF]
附录AAA A
qixie.bppa.org.cn/htmlimg/file/2011/安全试验110条.pdf
6.4 符号 a) 若适用,6.1~6.3的符号应符合附录D的要求。 b) 若适用,用于控制器和表示性能的符号应符合
数据查询中心
lhyyw.com/chaxun/index.aspTranslate this page
北京市药品监督管理局批准从事互联网药品信息服务资格证书:(京)-经营性-2010-0021 国家食品药品监督管理局批准从事互联网 ...
客户服务中心
lhyyw.com/mapa.aspTranslate this page
国家药品监督管理局批准从事互联网药品信息服务(经营性)国家药品监督管理局编号:b-0101-0023-000045 icp许可证号:京icp证030103号
北京医药行业在线培训系统
train.bppa.org.cnTranslate this page
质量管理员继续教育 网络课程版(试运营)! 注意: 1、本课程做不是很好,希望大家能在学习过程中多提好的意见:
招投标系统登录
project.heqi.com.cn · Translate this page

修复方案:

防注入,web服务器降权

版权声明:转载请注明来源 Forever80s@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2014-04-27 08:40

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT直接向北京市信息化主管部门通报,由其后续协调处置。

最新状态:

暂无