当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068875

漏洞标题:朝鲜日报分站SQL注入

相关厂商:朝鲜日报

漏洞作者: Ares

提交时间:2014-07-17 20:13

修复时间:2014-08-31 20:14

公开时间:2014-08-31 20:14

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-17: 细节已通知厂商并且等待厂商处理中
2014-07-22: 厂商已经确认,细节仅向厂商公开
2014-08-01: 细节向核心白帽子及相关领域专家公开
2014-08-11: 细节向普通白帽子公开
2014-08-21: 细节向实习白帽子公开
2014-08-31: 细节向公众公开

简要描述:

三胖蝈蝈,求不跨国。求不洲际导弹轰>/...

详细说明:

http://sports.chosun.com/cartoon/content.htm?title=ghost
http://economyplus.chosun.com/special/special_view_star.php?atCode=2300
列了一个表段没有继续了。
Database: information_schema
[33 tables]
+---------------------------------------+
| CHARACTER_SETS |
| COLLATIONS |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMNS |
| COLUMN_PRIVILEGES |
| ENGINES |
| EVENTS |
| GLOBAL_VARIABLES |
| INNODB_CMP |
| INNODB_CMPMEM |
| INNODB_CMPMEM_RESET |
| INNODB_CMP_RESET |
| INNODB_LOCKS |
| INNODB_LOCK_WAITS |
| INNODB_TRX |
| KEY_COLUMN_USAGE |
| PARAMETERS |
| PARTITIONS |
| PROCESSLIST |
| PROFILING |
| REFERENTIAL_CONSTRAINTS |
| SCHEMATA |
| SCHEMA_PRIVILEGES |
| SESSION_STATUS |
| SESSION_VARIABLES |
| STATISTICS |
| TABLES |
| TABLESPACES |
| TABLE_CONSTRAINTS |
| TABLE_PRIVILEGES |
| TRIGGERS |
| USER_PRIVILEGES |
| VIEWS |
+---------------------------------------+

漏洞证明:

14年07月17日1947_1.png


14年07月17日1948_2.png


14年07月17日1948_3.png


修复方案:

>/...

版权声明:转载请注明来源 Ares@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-07-22 15:14

厂商回复:

暂未建立与对方应急组织或相关部门的联系渠道,暂未处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-17 20:14 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    我擦 这个肯定火

  2. 2014-07-17 20:15 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    我擦?金胖子的?

  3. 2014-07-17 20:17 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

    Diao

  4. 2014-07-17 20:19 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    朝鲜部队已出动。

  5. 2014-07-17 20:19 | Kanade Ti ( 路人 | Rank:0 漏洞数:1 )

    我擦前排

  6. 2014-07-17 20:27 | 贫道来自河北 ( 普通白帽子 | Rank:1395 漏洞数:423 | 一个立志要把乌云集市变成零食店的男人)

    目测朝鲜精英级黑客部队已锁定楼主IP

  7. 2014-07-17 22:23 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    最新消息 楼主已被朝鲜精英级黑客部队带走,中国黑客部队奋起反击.

  8. 2014-07-17 22:31 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    这特么也能上主页 我真对审核制度有点怀疑

  9. 2014-07-17 22:39 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理洞主,我很想告诉你,金三胖有核弹。。。http://tieba.baidu.com/p/2160446175 洞主来这里交流下吧如果金三胖真的把核弹丢到“那个”国家。大家第一反应是什么

  10. 2014-07-17 23:19 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

    @小龙 我躲洲际导弹都到地下2层去了。核弹还了得?!!!

  11. 2014-07-17 23:20 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

    @U神 嗯。三胖帝国日报。诸君百度百度。

  12. 2014-07-18 00:01 | 小小鸟 ( 路人 | Rank:8 漏洞数:6 | 小白一个)

    朝鲜太空总署已从太阳获取你的精确地址,即将投放核弹

  13. 2014-07-18 09:41 | 流星warden ( 实习白帽子 | Rank:54 漏洞数:8 | The quieter you become,the more you are ...)

    三胖的黑洞武器已经瞄准洞主

  14. 2014-07-19 10:18 | 小五 ( 实习白帽子 | Rank:32 漏洞数:4 | 黑白两道,白当然好。)

    @金三胖 撸主死定了。

  15. 2014-07-19 10:22 | 发条橙子 ( 路人 | Rank:19 漏洞数:6 | ∑(っ °Д °;)っ)

    洞主目测直接被提拔为三胖国安全局局长

  16. 2014-07-19 13:23 | 风吹裙起小B凉 ( 路人 | Rank:18 漏洞数:6 | 找呀找呀找朋友)

    朝鲜人民歌颂你

  17. 2014-07-19 21:06 | Jack.Chalres ( 实习白帽子 | Rank:39 漏洞数:15 | ..............)

    @金三胖 此事你怎么看

  18. 2014-07-20 16:29 | 小磊 ( 路人 | Rank:1 漏洞数:3 | 为了一个安全技术梦。)

       金三胖 让我给你带话 让你今晚把菊花洗干净

  19. 2014-07-21 15:10 | lazypig ( 路人 | Rank:0 漏洞数:2 | 如果你决定了方向,勇气可以带你走的更远。)

    导弹已经在路上

  20. 2014-07-22 21:12 | 小思 ( 路人 | Rank:17 漏洞数:2 | 乌云杰出青年 | null)

    报上你的经纬度!

  21. 2014-07-22 21:19 | Jacks ( 普通白帽子 | Rank:162 漏洞数:25 | ╮(╯▽╰)╭ 情何以堪 http://royalhack....)

    @Ares http://baike.baidu.com/view/592946.htm?fr=aladdin你搞错了吧?朝鲜日报(조선일보)是韩国影响力最大的新闻媒体,也是朝鲜半岛历史最悠久、发行量最大的报纸[1] 。《朝鲜日报》创刊于1920年3月5日,是韩国ABC协会公认的在韩国订阅范围最广的报纸。根据韩国各大调查机构的调查结果显示,无论是阅读率、影响力都稳居韩国第一。[2] 《朝鲜日报》的发行量在1999年美国著名舆论杂志的调查中位居全世界第10位[3] 。世界主要的舆论媒体以"在韩国影响力最大的报纸,"在韩国最有名的报纸"来评价过《朝鲜日报》。《朝鲜日报》以韩语发行,其名称조선일보(读作 ChosunIlbo),写成汉字就是朝鲜日报。《朝鲜日报》名称中的“朝鲜”是韩国政府成立之前最后一个王朝的名字,与朝鲜人民民主主义共和国没有任何关系。一般来说该报的立场趋向于韩国保守派的观点。

  22. 2014-07-22 21:27 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    暂未处置,看来cert都没和那边建立关系啊

  23. 2014-07-22 22:31 | 阿萨帝 ( 实习白帽子 | Rank:91 漏洞数:68 | 不发礼物的索要联系方式都是耍流氓。)

    已瞄准

  24. 2014-07-22 22:54 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

    @Jacks 不知。从度娘得来,度娘表的朝鲜日报

  25. 2014-07-23 09:44 | Jacks ( 普通白帽子 | Rank:162 漏洞数:25 | ╮(╯▽╰)╭ 情何以堪 http://royalhack....)

    @Ares 朝鲜日报是 韩国的 报纸。 并非朝鲜。。。与朝鲜人民民主主义共和国没有任何关系 :(