漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0165575
漏洞标题: 山东某市就业网SQL注入一枚泄露大量个人信息(包括家庭住址,电话,邮箱等等)
相关厂商:cncert国家互联网应急中心
漏洞作者: leave
提交时间:2015-12-29 00:06
修复时间:2016-02-12 18:49
公开时间:2016-02-12 18:49
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-29: 细节已通知厂商并且等待厂商处理中
2016-01-04: 厂商已经确认,细节仅向厂商公开
2016-01-14: 细节向核心白帽子及相关领域专家公开
2016-01-24: 细节向普通白帽子公开
2016-02-03: 细节向实习白帽子公开
2016-02-12: 细节向公众公开
简要描述:
以前,我没觉得信息泄露有什么了不起 直到我发现这个sql注入 泄露了大量个人信息 包括家庭住址(有些具体到门牌号) 邮箱 电话 毕业学校 生日 学历 姓名 好了 废话不多说 看看具体的泄露内容吧
详细说明:
注入点: http://**.**.**.**/viewnews.asp?id=4540
首先是注入管理员的用户名和密码
管理员账号密码都出来了 可惜密码md5值是收费的
后台也找到了 http://**.**.**.**/admin/denglu.htm
你以为到这里就结束了?好戏才刚刚开始!!!
我又翻了翻数据库 这一翻不要紧 翻出了大量个人信息
在 ytjob 数据库 person 表中 安静的放着各种个人信息
Database: ytjob
Table: person
[35 columns]
+-------------+----------+
| Column | Type |
+-------------+----------+
| address | nvarchar |
| birthday | nvarchar |
| bytime | nvarchar |
| dan | nvarchar |
| email | nvarchar |
| english | nvarchar |
| grade | int |
| hiden | int |
| hk | nvarchar |
| homeaddress | nvarchar |
| id | int |
| jiaoyu | ntext |
| jobyear | nvarchar |
| lei | nvarchar |
| minzu | nvarchar |
| mob | nvarchar |
| msn | nvarchar |
| myself | ntext |
| name | nvarchar |
| nianxin | nvarchar |
| pass | nvarchar |
| peixun | ntext |
| post | nvarchar |
| pwork | ntext |
| qixian | nvarchar |
| regtime | datetime |
| school | nvarchar |
| sex | nvarchar |
| tel | nvarchar |
| tela | nvarchar |
| tid | varchar |
| uname | nvarchar |
| xinchou | nvarchar |
| xueli | nvarchar |
| zz | nvarchar |
+-------------+----------+
可以从名字中看出来 有住址 邮箱 电话 姓名 等等敏感信息 由于数据太多 我就不全都跑出来了 这里以住址为例 跑一下数据
这里有两个address 我跑的是 homeaddress 这个
上图
可以跑出具体的家庭住址 还有很多其他个人信息 这里就不跑了
最后 小菜挖个注入不容易 还希望厂家能尽量多给点rank 谢谢!
漏洞证明:
同上
修复方案:
过滤
版权声明:转载请注明来源 leave@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2016-01-04 18:17
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置.
最新状态:
暂无