当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032896

漏洞标题:美国运输部网站存在sql注入漏洞

相关厂商:美国运输部

漏洞作者: tomdogs

提交时间:2013-07-31 10:24

修复时间:2013-09-14 10:24

公开时间:2013-09-14 10:24

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

美国运输部网站存在sql注入

详细说明:

美国运输部网站存在sql注入,测试的工具为sqlmap

漏洞证明:

查找注入点,注入点为:http://transit-safety.fta.dot.gov/DrugAndAlcohol/TechnicalAssistance/Forum/topic.asp?id=3070


1.PNG

获取数据库信息


2.PNG


获取系统用户


3.PNG


获取数据库实例


4.PNG

修复方案:

我是懒人

版权声明:转载请注明来源 tomdogs@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-07-31 10:47 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    我发现名字里带'tom'的人都很牛叉

  2. 2013-07-31 10:59 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    汗,国外的网站也能提交??

  3. 2013-07-31 11:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @zzR 真相了啊

  4. 2013-07-31 11:20 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    大美利坚~~会忽略么?

  5. 2013-07-31 11:32 | X防部 ( 普通白帽子 | Rank:487 漏洞数:137 )

    你这样做我很不高兴

  6. 2013-07-31 11:48 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    洞主上国际版吧

  7. 2013-07-31 11:53 | 鲜香不油腻 ( 路人 | Rank:0 漏洞数:1 | 那阵风把你节操刮掉了...)

    大事件啊,老美会给奖励吗

  8. 2013-07-31 14:30 | 光的圆周率 ( 路人 | Rank:11 漏洞数:1 | (<ゝω·)☆~Kira)

    没准奖励个勋章啥的

  9. 2013-07-31 17:39 | cncert国家互联网应急中心(乌云厂商)

    认领,发给US-CERT,增加一下对方的工作量,就没有时间棱镜中国了。

  10. 2013-07-31 18:12 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    @cncert国家互联网应急中心 US会说天朝又在攻击他们

  11. 2013-07-31 23:31 | tomdogs ( 实习白帽子 | Rank:82 漏洞数:28 | 懒人一个)

    美国政府印刷局存在远程代码执行漏洞 美国疾病预防控制中心存在远程代码执行漏洞 美国政府环保网站存在远程命令执行漏洞 美国纽约卫生医疗政府网站存在远程命令执行漏洞(美国卫生部)大家有时间可以去玩

  12. 2013-08-01 09:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @tomdogs 请保存好,英文版马上上

  13. 2013-08-22 06:08 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:234 | 雙魚座聖鬥士雅柏菲卡)

    @cncert国家互联网应急中心 对 给他们很多的工作压力 就木有时间棱镜了