当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101490

漏洞标题:某通用型系统SQL注入+数据库下载

相关厂商:XYCMS

漏洞作者: 独孤求败

提交时间:2015-03-17 11:11

修复时间:2015-05-01 11:12

公开时间:2015-05-01 11:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:11

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某通用型系统SQL注入+数据库下载

详细说明:

某通用型系统SQL注入+数据库下载。
源码地址:XYCMS生物科技公司源码 v3.3
http://down.chinaz.com/soft/33908.htm
SQL注入:job_yp.asp?id=
可谷歌搜索:inurl:job_yp.asp?id=

QQ图片20150315132705.png


实例:
http://www.ys-org.com/job_yp.asp?id=1
http://ouzhouyulecheng.com/job_yp.asp?id=1
http://jinsanjiaoyulecheng.net/job_yp.asp?id=1
http://www.keyishengwu.com/job_yp.asp?id=8
http://sgqcdz.com/job_yp.asp?id=1
http://www.guozhiwang.com/job_yp.asp?id=1
http://www.keyishengwu.com/EN/job_yp.asp?id=8
http://wzkqq05.user.d-jet.com/job_yp.asp?id=2
http://runfenghzs.com/job_yp.asp?id=2
http://www.3dwater-tech.com/job_yp.asp?id=61
http://www.lfhengrui.com/job_yp.asp?id=9
http://www.xinmingsen.com/job_yp.asp?id=10
注入证明:

QQ图片20150315133108.png

QQ图片20150315133441.png

QQ图片20150315134751.png

QQ图片20150315134825.jpg

漏洞证明:

数据库下载:/xydata/xycms.mdb
实例+证明:
http://www.guozhiwang.com//xydata/xycms.mdb
http://www.lfhengrui.com//xydata/xycms.mdb
http://www.xinmingsen.com//xydata/xycms.mdb
http://runfenghzs.com//xydata/xycms.mdb
http://www.keyishengwu.com//xydata/xycms.mdb

QQ图片20150315132725.jpg

QQ图片20150315134825.jpg

修复方案:

...

版权声明:转载请注明来源 独孤求败@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝