贵州省国土资源厅SQL注入 | wooyun-2012-04832| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-04832

漏洞标题：贵州省国土资源厅SQL注入

漏洞作者： Valo洛洛

提交时间：2012-02-26 14:56

修复时间：2012-04-11 14:57

公开时间：2012-04-11 14:57

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-02-26：细节已通知厂商并且等待厂商处理中
2012-02-27：厂商已经确认，细节仅向厂商公开
2012-03-08：细节向核心白帽子及相关领域专家公开
2012-03-18：细节向普通白帽子公开
2012-03-28：细节向实习白帽子公开
2012-04-11：细节向公众公开

简要描述：

注入点SA权限。你懂得。

详细说明：

http://www.gzgtzy.gov.cn/gzlr/Article/ShowArticle.asp?title=单位简介
GOV网站，不深入。

漏洞证明：

修复方案：

SQL

版权声明：转载请注明来源 Valo洛洛@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2012-02-27 14:22

厂商回复：

CNVD确认SQL注入点存在且复现相关过程，下一步将转由CNCERT处置，将通过贵州分中心通知涉事单位。
CNVD对该漏洞评分如下：
基本得分CVSS：(AV:R/AC:L/Au:NR/C:C/A:P/I:P/B:N) score:8.97（高危）
技术难度系数：1.0（一般）
影响危害系数：1.3（较严重）
CNVD综合评分：8.97*1.0*1.4=11.661

漏洞评价：

2012-02-27 13:19 | only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

童鞋.你不该盯着贵州的政府站的....
2012-02-27 13:21 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

@only_guest 贵州咋了。。
2012-02-28 01:01 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活！)

@Valo洛洛 @only_guest 贵州的整个政府网络都不怎么样，管理员也很不务正业，exp：http://www.gzsmzt.gov.cn/mzt2006/qq.txt，极品管理员干的，重要信息就不发了，你们懂的，我对gov不感兴趣
2012-02-28 03:24 | only_guest ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

@darksn0w 这个内容实在有爱`哈哈
2012-02-28 11:37 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活！)

@only_guest 中国的管理员啊.....拿什么拯救你！！wooyun以后该公开公开，没点记性，他们吃官饭的是改不了的....
2012-02-28 11:40 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

@darksn0w 这个之前也检测到了。。一边网上传shell，那边一边删，最后那边干脆把后台登陆页删了。。
2012-02-28 11:41 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活！)

@Valo洛洛晕，你仔细看看我是谁= =去习科群好好找找.....我又去搞回来了.....
2012-02-28 11:48 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

@darksn0w 尴尬了吧= =
2012-02-28 11:51 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活！)

@Valo洛洛是你，尴尬了吧。。。早知道就不告诉你，继续逗你
2012-02-28 12:20 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

@darksn0w 虽然见过用服务器下某些片的（你懂的），但这个管理员的案例确实有点奇葩，案例收藏了......
2012-04-11 16:30 | 水泥中的鱼 ( 路人 | Rank:30 漏洞数:4 | 我就是我，尘世中一迷途小书童。)

http://www.gzsmzt.gov.cn/mzt2006/qq.txt这个太霸气了~~
2012-04-11 18:59 | Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究，工业数据采集...)

实在是让人无话可说！
2012-06-27 00:54 | mastertu ( 路人 | 还没有发布任何漏洞 | 打酱油的)

@水泥中的鱼碉堡了啊

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-04832

漏洞标题：贵州省国土资源厅SQL注入

相关厂商：贵州省国土资源厅

漏洞作者： Valo洛洛

提交时间：2012-02-26 14:56

修复时间：2012-04-11 14:57

公开时间：2012-04-11 14:57

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Valo洛洛@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-04832

漏洞标题：贵州省国土资源厅SQL注入

相关厂商：贵州省国土资源厅

漏洞作者： Valo洛洛

提交时间：2012-02-26 14:56

修复时间：2012-04-11 14:57

公开时间：2012-04-11 14:57

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-04832"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Valo洛洛@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：