当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-040024

漏洞标题:绿盟科技主站SQL注入漏洞一枚

相关厂商:绿盟科技

漏洞作者: m1x7e1

提交时间:2013-10-17 10:44

修复时间:2013-12-01 10:44

公开时间:2013-12-01 10:44

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-17: 细节已通知厂商并且等待厂商处理中
2013-10-17: 厂商已经确认,细节仅向厂商公开
2013-10-27: 细节向核心白帽子及相关领域专家公开
2013-11-06: 细节向普通白帽子公开
2013-11-16: 细节向实习白帽子公开
2013-12-01: 细节向公众公开

简要描述:

RT

详细说明:

地址:http://www.nsfocus.com/3_support/kb.php?product=NIDS

01.png


02.png


03.png


04.png


+----------------------------------+--------------+
| admin_pass                       | admin_name   |
+----------------------------------+--------------+
| ca6083f9697f478aa0d8e8dd76dedc81 | admin        |


漏洞证明:

见详细说明

修复方案:

管理员会修复的。

版权声明:转载请注明来源 m1x7e1@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-10-17 16:30

厂商回复:

非常感谢m1x7e1和乌云的提醒,已经着手解决。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-10-17 10:45 | sex is not show 认证白帽子 ( 普通白帽子 | Rank:1495 漏洞数:233 | 这家伙真懒!)

    基佬,收了我吧。

  2. 2013-10-17 10:45 | 黑云 ( 路人 | Rank:12 漏洞数:3 | 米有)

    有点意思

  3. 2013-10-17 10:52 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    这么吊

  4. 2013-10-17 11:08 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    SQL? 还主站, 绿盟的安全着急哇

  5. 2013-10-17 11:10 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活!)

    我擦,楼主牛掰

  6. 2013-10-17 11:12 | 猪头子 ( 普通白帽子 | Rank:189 漏洞数:35 | 自信的看着队友rm -rf/tar挂服务器)

    是真的就打脸了

  7. 2013-10-17 11:14 | 葱油饼 ( 路人 | Rank:22 漏洞数:2 | 那啥,卖早点的)

    OMG, 什么情况! 处理一下吧

  8. 2013-10-17 11:14 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    捉急!!!!

  9. 2013-10-17 11:15 | RcSalah ( 路人 | Rank:0 漏洞数:2 | 懂点pyhon,懂点c++,懂点点安全)

    sql注入专业户

  10. 2013-10-17 11:15 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    LZ应该写一份doc出来,然后就写成对xx安全公司进行的一次渗透测试报告..哇咔咔

  11. 2013-10-17 11:16 | ( 路人 | Rank:5 漏洞数:3 | 呃)

    厂商会这样回复:此为蜜罐系统

  12. 2013-10-17 11:18 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    厂商会这样回复:此为蜜罐系统

  13. 2013-10-17 11:19 | charles ( 路人 | Rank:6 漏洞数:4 | 研究web安全,0day,漏洞挖掘,关注国内安全动...)

    呵呵坐等这个漏洞。

  14. 2013-10-17 11:29 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    看了一下lz的洞,全部都是sql

  15. 2013-10-17 11:29 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    厂商会这样回复:此为蜜罐系统

  16. 2013-10-17 11:32 | m1x7e1 ( 普通白帽子 | Rank:543 漏洞数:132 | 求工作)

    两个绿盟的洞全通过了,求厂商给个礼物吧。。。投了这么多一个也没给。 :(

  17. 2013-10-17 11:33 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    @m1x7e1 送你台防火墙吧! 请注意收货

  18. 2013-10-17 11:33 | Manning ( 普通白帽子 | Rank:559 漏洞数:78 | 就恨自己服务器太少)

    完了,有人该被骂了

  19. 2013-10-17 11:37 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    临时工干的

  20. 2013-10-17 11:38 | GZ-allen ( 路人 | Rank:15 漏洞数:3 | GZ脱裤人)

    狄总送你一台黑洞

  21. 2013-10-17 11:41 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    蜜罐,洞主完了。

  22. 2013-10-17 12:06 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    厂商会这样回复:此为蜜罐系统

  23. 2013-10-17 12:13 | sec123 ( 实习白帽子 | Rank:31 漏洞数:4 | >>爱生活爱拉芳)

    这个确实有点吊

  24. 2013-10-17 12:22 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    屌炸天了! 这个漏洞既然通过了,那一定是真实存在的。。。 屌炸天了。。 不过撸主是如何绕过人家的WAF和IPS的?据我所知绿盟的网站都有WAF和IPS的。小心查水表。

  25. 2013-10-17 12:30 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @m1x7e1 送个黑洞给你

  26. 2013-10-17 12:35 | 小葵 ( 实习白帽子 | Rank:84 漏洞数:11 | 我们是害虫,我们是害虫!)

    @m1x7e1 SQLMAP高手啊! 土豪咱俩做朋友吧!

  27. 2013-10-17 12:36 | m1x7e1 ( 普通白帽子 | Rank:543 漏洞数:132 | 求工作)

    @坏虾 别吓我了,刚才就有称是绿盟的人加我了。。

  28. 2013-10-17 12:40 | xx123 ( 路人 | Rank:1 漏洞数:1 | 雷锋)

    @m1x7e1 被查水表了

  29. 2013-10-17 12:49 | m1x7e1 ( 普通白帽子 | Rank:543 漏洞数:132 | 求工作)

    @xsser 还没确认,已经被修复了。。什么情况。

  30. 2013-10-17 12:50 | MeirLin ( 实习白帽子 | Rank:96 漏洞数:30 | 号借人)

    @m1x7e1 可能是标题透露的信息太多了吧,, 应该写 某科技公司某站某漏洞 哈哈,

  31. 2013-10-17 13:03 | Honker红颜 ( 普通白帽子 | Rank:156 漏洞数:51 | 皖南人士,90后宅男,自学成才,天朝教育失败....)

    厂商会这样回复:此为蜜罐系统

  32. 2013-10-17 13:10 | lxsec ( 实习白帽子 | Rank:97 漏洞数:16 | 专注XSS学习中......)

    我擦!注入牛人啊

  33. 2013-10-17 13:17 | p0di ( 普通白帽子 | Rank:121 漏洞数:17 | 1+1 = 2 ?)

    @m1x7e1 那种类型的?外包项目?

  34. 2013-10-17 13:18 | 小土豆 ( 普通白帽子 | Rank:129 漏洞数:23 )

    洞主 求教育。。 全是sql注入。 求教育、

  35. 2013-10-17 13:22 | Mr.Jen ( 路人 | Rank:13 漏洞数:2 | 开放自由)

    oh my god

  36. 2013-10-17 13:56 | ben ( 路人 | Rank:0 漏洞数:2 | 技术宅)

    打脸了是吗

  37. 2013-10-17 13:58 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    主站。。。 注入。。。。

  38. 2013-10-17 14:03 | Shark2013 ( 路人 | Rank:6 漏洞数:1 | This is Shark)

    ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

  39. 2013-10-17 14:03 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    首先,发现你对我们网站进行攻击,我们必须清楚你是何种意图.我们很没面子

  40. 2013-10-17 14:16 | Jesus ( 实习白帽子 | Rank:60 漏洞数:18 | 天地不仁,以万物为刍狗!)

    屌炸天

  41. 2013-10-17 15:21 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    @m1x7e1 网站日志

  42. 2013-10-17 16:14 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活!)

    @猪头子 去财务吧。。。

  43. 2013-10-17 16:15 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活!)

    @坏虾 也可能waf,ids暂停了~

  44. 2013-10-17 16:36 | m1x7e1 ( 普通白帽子 | Rank:543 漏洞数:132 | 求工作)

    @绿盟科技 哇哈。。。终于确认了。。厂商,求礼物。 :)

  45. 2013-10-17 16:45 | 啦绯哥 ( 普通白帽子 | Rank:107 漏洞数:20 )

    以后改成“射哥”

  46. 2013-10-17 16:45 | s3cj0y ( 路人 | Rank:2 漏洞数:1 | h4ck 4 饭)

    @m1x7e1 绿盟主站,吊炸天啊,mark,坐等细节

  47. 2013-10-17 18:16 | 牛牛 ( 路人 | Rank:0 漏洞数:1 | 一个对网络安全充满激情的小白)

    绿盟的主站啊 X真牛

  48. 2013-10-17 19:33 | 鶆鶈 ( 普通白帽子 | Rank:306 漏洞数:30 )

    哈哈,黑了绿盟首页,把启明挂上去。

  49. 2013-11-06 16:32 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    终于看见了!呵呵!

  50. 2013-11-07 17:57 | Mr.Anderson ( 路人 | Rank:6 漏洞数:5 | no woman no cry)

    忽然有种总人皆醉唯我独醒的错觉。哈哈哈

  51. 2013-11-19 10:42 | 左手 ( 实习白帽子 | Rank:33 漏洞数:13 | Touch<touch@bxbsec.com>)

    霸气,不解释。

  52. 2013-12-10 22:57 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    mark