当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151116

漏洞标题:吉林大学国家化石岩矿标本库系统SQL注入(高清原图吉林省内恐龙化石亲情放送)

相关厂商:jlu.edu.cn

漏洞作者: 路人甲

提交时间:2015-11-01 22:14

修复时间:2015-12-17 09:38

公开时间:2015-12-17 09:38

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-01: 细节已通知厂商并且等待厂商处理中
2015-11-02: 厂商已经确认,细节仅向厂商公开
2015-11-12: 细节向核心白帽子及相关领域专家公开
2015-11-22: 细节向普通白帽子公开
2015-12-02: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

该系统由中国地质大学开发设计,由吉林大学使用!是否存在其他高校使用有待进一步观察!
可查看化石数据、岩石数据、矿物数据等等信息,最新奇的是“娇小长春龙”,属“古脊椎动物====>爬行纲====>鸟臀类恐龙”高清化石图片!

详细说明:

系统的模样

2015-11-01 19:57:00屏幕截图.png


footer内容

Copyright © 2001-2010 北京.中国地质大学(北京)
北京市海淀区学院路29号,中国地质大学(北京)国家岩矿化石标本库
邮编100083,电话:82321369,Email:nimrf@cugb.edu.cn


诈一看以为是中国地质大学(北京)国家岩矿化石标本库系统
但是根据IP地址和系统内信息,以及我搜集的吉林大学IP段综合判断该系统为吉林大学所有。

漏洞证明:

系统地址

http://59.72.66.69/login.aspx


万能密码登录
账户

admin


密码

' or '1'='1


登录后如下

2015-11-01 20:04:01屏幕截图.png


查看小孔龙介绍

2015-11-01 20:04:54屏幕截图.png


高清图片

2015-11-01 20:05:46屏幕截图.png


访问

http://59.72.66.69/SystemAdmin/IPCtrl/IPCtrl.aspx?ROW_ID=9

可查看系统内登录账户和IP地址,多数为吉林大学,包括内网地址。

修复方案:

完善登录模块

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-02 09:37

厂商回复:

谢谢路人甲!!我们尽快修复!

最新状态:

暂无