当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158471

漏洞标题:国药集团某分公司OA系统多个漏洞/Getshell/泄露大量敏感重要资料

相关厂商:国药集团

漏洞作者: 路人甲

提交时间:2015-12-06 10:15

修复时间:2015-12-11 10:16

公开时间:2015-12-11 10:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-06: 细节已通知厂商并且等待厂商处理中
2015-12-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

http://218.26.176.181:8082/yyoa/
查看标题是国药集团山西有限公司的OA系统
敏感信息泄露:

gysx1.PNG


数据库信息:

gysx2.PNG


session信息泄露

gysx3.PNG

可登陆的。
任意SQL语句执行

gysx4.PNG


getshell

gysx5.PNG


大量的客户信息:

gysx6.PNG


重要资料:

gysx7.PNG

gysx8.PNG

gysx9.PNG


所有员工的身份证等信息

gyxs11.PNG


可内网渗透

gyxx10.PNG


计算机拓扑图

gysx12.PNG


还有很多敏感资料。。。内网渗透妥妥的。

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-11 10:16

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无