当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018964

漏洞标题:金三胖人民共和国SQL注入

相关厂商:金三胖帝国

漏洞作者: john

提交时间:2013-02-20 17:45

修复时间:2013-04-06 17:45

公开时间:2013-04-06 17:45

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-20: 细节已通知厂商并且等待厂商处理中
2013-02-24: 厂商已经确认,细节仅向厂商公开
2013-03-06: 细节向核心白帽子及相关领域专家公开
2013-03-16: 细节向普通白帽子公开
2013-03-26: 细节向实习白帽子公开
2013-04-06: 细节向公众公开

简要描述:

玩核弹 老子偷你的桃

详细说明:

漏洞证明:

http://naenara.com.kp/ch/trade/trade-com-search.php?ID=840

sql1.jpg


sql3.jpg


SQLMAP 执行 --os-shell 获得一个SHELL

shell.jpg


表名啥的就不列举了

修复方案:

版权声明:转载请注明来源 john@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2013-02-24 23:43

厂商回复:

CNVD确认并复现所述情况,暂未及时处置,待上级主管部门定夺。
按部分影响机密性、可用性、完整性进行评分,基本危害评分7.48(高危),发现技术难度系数1.1,涉及行业或单位影响系数2.0,综合rank=7.48*1.1*2.0=

最新状态:

暂无

漏洞评价:

评论

  1. 2013-02-20 17:46 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    这个标题和厂商把我的肠子都笑出来了~

  2. 2013-02-20 17:46 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @作家崔成浩

  3. 2013-02-20 17:47 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @朝日新闻社

  4. 2013-02-20 17:47 | john ( 普通白帽子 | Rank:222 漏洞数:25 )

    那个IP下面通杀 你们懂

  5. 2013-02-20 17:49 | blast ( 普通白帽子 | Rank:348 漏洞数:57 | 五仁委员会)

    玩核弹 老子偷你的桃

  6. 2013-02-20 17:52 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    玩核弹 老子偷你的桃

  7. 2013-02-20 17:52 | null ( 路人 | Rank:15 漏洞数:2 | 左岸是无法忘却的回忆,右岸是值得把握的青...)

    @作家崔善英

  8. 2013-02-20 17:56 | 你撸我也撸 ( 路人 | Rank:30 漏洞数:3 | xxx)

    楼主以后要小心金胖子的特工了!

  9. 2013-02-20 18:01 | leehenwu ( 普通白帽子 | Rank:194 漏洞数:24 | 撸·啊·撸)

    玩核弹 老子偷你的桃

  10. 2013-02-20 18:02 | john ( 普通白帽子 | Rank:222 漏洞数:25 )

    洞主代表外交部发言 我们也是受害国 ID IP IQ都是被黑的

  11. 2013-02-20 18:02 | also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)

    @金*zheng*恩

  12. 2013-02-20 18:05 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    这。。。。。

  13. 2013-02-20 18:23 | 温柔杀手 ( 路人 | Rank:2 漏洞数:1 | 这是个马甲,用来装比)

    和谐。看不到内容蛋疼

  14. 2013-02-20 18:31 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @金三瘦思密达

  15. 2013-02-20 18:34 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    三胖表示随时受不了

  16. 2013-02-20 18:40 | sea ( 路人 | Rank:20 漏洞数:5 | 好人)

    保持中立位置

  17. 2013-02-20 18:47 | cnhello ( 路人 | Rank:0 漏洞数:1 | 小菜一枚,学习中。。。)

    洞主经纬度!!!

  18. 2013-02-20 19:04 | Stefan ( 路人 | Rank:10 漏洞数:2 | 一个胖子而已……)

    @作家崔成浩 来看看。哈哈

  19. 2013-02-20 19:42 | 小黑要低调 ( 实习白帽子 | Rank:47 漏洞数:4 | 小黑一枚)

    @逍遥 我擦 乌云竟然啥都没和谐

  20. 2013-02-20 20:00 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    @逍遥 爆破一组准备

  21. 2013-02-20 20:09 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    楼主 准备出门接收礼物(豪华核弹一枚)

  22. 2013-02-20 20:34 | zsx ( 路人 | Rank:0 漏洞数:3 | undefined)

    大浦洞请楼主报上经纬度!

  23. 2013-02-20 20:53 | 屌丝一枚 ( 路人 | Rank:9 漏洞数:2 | 屌丝一个,蛋疼的。)

    撸主,礼物到了。来朝鲜地下面签收把,

  24. 2013-02-20 21:15 | 党中央 ( 路人 | Rank:24 漏洞数:4 | 中国共产党全国代表大会产生的中央权力机构...)

    你这个样子我很不高兴

  25. 2013-02-20 21:21 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @党中央 牛逼啊,出现了啊,膜拜啊!!!!!感谢郭嘉,感谢档!

  26. 2013-02-20 21:32 | tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)

    @xsser @党中央 这个帐号需要和谐一下么?免得乌云遭殃啊……

  27. 2013-02-20 21:36 | 顺子 ( 普通白帽子 | Rank:236 漏洞数:36 | 0-0努力像正常青年靠近,再也不当上错图的2...)

    交出经纬度

  28. 2013-02-20 21:41 | PPFish ( 路人 | Rank:10 漏洞数:1 | 一株是枣树,另一株还是枣树。)

    向我发核弹 老子让它拐弯

  29. 2013-02-20 21:52 | 3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)

    小心顺丰快递送核弹!!

  30. 2013-02-20 22:05 | TituX ( 路人 | Rank:19 漏洞数:3 | <script></script>)

    神ID出现

  31. 2013-02-20 22:06 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    这也忒暴力了~

  32. 2013-02-20 22:12 | 海盗湾V ( 实习白帽子 | Rank:58 漏洞数:9 | Your entire life is online)

    你发这些什么目的,谁指使你的,你的动机是什么,你取得有关部门许可了吗?吧里容许你发了吗?你背后是谁,发这些想干什么,你想颠覆什么,破坏什么?回答不上来?那么跟我走一趟,顺便把你家水表带上,取证。别说我们瞎抓你,都是有理有据的

  33. 2013-02-20 22:31 | Csser ( 路人 | Rank:11 漏洞数:6 )

    开门,顺风核弹。

  34. 2013-02-20 22:57 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    北棒的我早见过了,还帮他们更正了翻译错误,改成了喜闻乐见的内涵语言。

  35. 2013-02-20 22:58 | As0n ( 路人 | Rank:4 漏洞数:3 | 我是技术宅,求交流,求基友)

    @john查水表

  36. 2013-02-20 23:08 | 倒霉熊 ( 路人 | Rank:20 漏洞数:6 | *好简要)

    看到神ID。。瞬间不淡定了。。。。这是神马情况。。。。

  37. 2013-02-20 23:46 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    洞主,你的核弹到了,开下门

  38. 2013-02-20 23:46 | wormcy ( 路人 | Rank:19 漏洞数:3 | 扒洞 球变身.)

    开门 朝鲜快递

  39. 2013-02-20 23:53 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    @党中央 ID牛逼!

  40. 2013-02-21 00:33 | txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)

    围观

  41. 2013-02-21 08:24 | 冬冬 ( 实习白帽子 | Rank:53 漏洞数:16 | 学习中.....)

    朝鲜的来发RMB给你啦,出来手下

  42. 2013-02-21 08:25 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)

    强势围观

  43. 2013-02-21 10:24 | Pang ( 路人 | Rank:13 漏洞数:5 | 若你选择梦中,就把尘世的性命送给我做报酬...)

    笑尿

  44. 2013-02-21 10:45 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

    昨天试着google下朝鲜的网站,发现不少站点有洞洞。。。

  45. 2013-02-21 10:46 | 黑云 ( 路人 | Rank:12 漏洞数:3 | 米有)

    完全笑尿了

  46. 2013-02-21 11:15 | 0x2b ( 实习白帽子 | Rank:51 漏洞数:12 )

    朝鲜人们共和国 思密达 @金胖胖

  47. 2013-02-21 11:18 | Vi0lent ( 普通白帽子 | Rank:131 漏洞数:14 | hello~)

    膜拜楼主呀~标题能不能不这么XX

  48. 2013-02-21 11:27 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    估计是本月最佳撸主了、、

  49. 2013-02-21 13:29 | web天空 ( 路人 | Rank:1 漏洞数:1 | 你猜镇,不告诉你村。)

    我承认,这标题太吸引我了

  50. 2013-02-21 13:32 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    玩核弹 老子偷你的桃

  51. 2013-02-21 14:00 | 专业查水表 ( 路人 | Rank:1 漏洞数:5 | "><script>alert(/我是"J.L"的大号/);</scr...)

    神标题神描述。。。洞主开门签收核弹

  52. 2013-02-21 15:26 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    @xsser 2013-02-20:细节已通知厂商并且等待厂商处理中厂商是谁啊

  53. 2013-02-21 15:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    这洞火了

  54. 2013-02-21 16:05 | 不是路人甲 ( 路人 | Rank:1 漏洞数:1 | 撸人假)

    Kcna.kp? 这注入可以直接用mysql读文件。。。想当年渗透了1周,最后没拿下服务器权限,放弃了。。。

  55. 2013-02-21 16:07 | iiiiiiiii ( 普通白帽子 | Rank:680 漏洞数:89 | )

    楼上路人甲??@路人甲

  56. 2013-02-21 16:34 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    @路人甲 这个不是朝鲜的国家官网 naenara.com.kp 才是 @john

  57. 2013-02-21 16:42 | CNOS ( 路人 | Rank:20 漏洞数:6 | 小白一个)

    洞主 你的核弹到了快签收

  58. 2013-02-21 16:58 | john ( 普通白帽子 | Rank:222 漏洞数:25 )

    @数据流 +1

  59. 2013-02-21 18:22 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @路人甲 这个ID也bug了~

  60. 2013-02-21 18:29 | 1024 ( 路人 | Rank:18 漏洞数:4 | 跪求邀请码。。)

    @路人甲 神ID。。

  61. 2013-02-21 18:36 | 专业查水表 ( 路人 | Rank:1 漏洞数:5 | "><script>alert(/我是"J.L"的大号/);</scr...)

    @路人甲 好多rank~~~9999999999999999~神ID~@xsser

  62. 2013-02-21 21:02 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    目前,我们进行自卫的核试验后,美国惊慌失措,垂死挣扎。这简直是自掘坟墓的行为。说打就打,一打就胜,这是我们白头山革命强军的气质。不只是朝鲜半岛及其周围的美帝国主义侵略基地,连美国本土也处于我们的打击范围内。

  63. 2013-02-21 21:57 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    @路人甲 这尼玛是剑心吧。。。怎么注册的

  64. 2013-02-21 22:53 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    围观

  65. 2013-02-21 23:23 | 虫子 ( 路人 | Rank:5 漏洞数:1 | 小弟也是大学生)

    我草 恭喜你的 核弹到了 lz

  66. 2013-02-22 04:39 | 不是路人甲 ( 路人 | Rank:1 漏洞数:1 | 撸人假)

    @数据流 好吧。。求光明网服务器:)

  67. 2013-02-22 09:38 | Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)

    关注下是不是以前搞的那个.......

  68. 2013-02-24 14:54 | heiben ( 路人 | Rank:0 漏洞数:2 | A man)

    真的笑,,恭喜了

  69. 2013-02-24 23:45 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    17!!!!!!第一次见CNVD给17rank啊!!!必须马克!!!!

  70. 2013-02-25 00:21 | txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)

    居然确认了。

  71. 2013-02-25 00:22 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @小胖子 还有爆rank的。。你没看见而已

  72. 2013-02-25 00:24 | NiceWorm ( 普通白帽子 | Rank:179 漏洞数:38 )

    ....马克下

  73. 2013-02-25 00:52 | fox ( 普通白帽子 | Rank:159 漏洞数:16 | fox)

    标题笑死了

  74. 2013-02-25 08:52 | 正在输入 ( 路人 | Rank:6 漏洞数:1 | 一直在磨蹭,一直在输入。。。。。。\0)

    厂商笑死了

  75. 2013-02-25 09:42 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    "待上级主管部门定夺" 。。。。看起来像是个烫手的山芋。

  76. 2013-02-25 10:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Z-0ne ... 交给崔成浩就可以了

  77. 2013-02-25 11:59 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    小心下次核试验在你家厕所。。

  78. 2013-03-16 21:45 | 冴月麟 ( 路人 | Rank:8 漏洞数:1 | 死宅一只..)

    核弹已埋入洞主地下室 嘎嘎嘎嘎

  79. 2013-04-06 19:42 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    三胖一米达

  80. 2013-04-06 21:24 | admin ( 实习白帽子 | Rank:56 漏洞数:12 | 名字是我英文名~~~)

    国家互联网应急中心 这都管??

  81. 2014-06-30 16:10 | 我是白帽子 ( 路人 | Rank:10 漏洞数:1 | 我是白帽子)

    屌炸。。。