漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某通用网站系统Sql注入漏洞&&前台getshell
漏洞作者: 宇少
提交时间:2014-09-10 16:21
修复时间:2014-12-09 16:22
公开时间:2014-12-09 16:22
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2014-09-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
每一朵黑木耳都有一段粉红色的回忆!
详细说明:
联创互联(北京)科技有限公司-高端网站建设首选
网站建设,网站制作,做网站,北京网站建设,北京网站制作,网站设计,高端网站设计
废话不多说 直接进入主题 下面是给出的几个存在通用案例网站:
以上举出10个案例,还有一些我就都列出来 具体可以到官方网站上去找
http://www.lc787.com/case.html
漏洞证明:
#1 注入点:
http://www.kungking.cn/case.php?dl=1
http://www.jingzhipeng.com/about.php?dl=3
http://www.unotimes.com/about.php?dl=1
http://www.athink.org//about.php?dl=1
http://www.zcdiamond.com/about.php?dl=1
http://guanghua365.com/about.php?dl=1
#2 前台直接getshell
访问
http://www.pop1st.com/admin/up.php
直接可以上传我们的一句话马
返回查看源代码获取上传马儿路径
修复方案:
版权声明:转载请注明来源 宇少@乌云
漏洞回应
漏洞评价:
评论
-
2014-09-15 00:24 |
zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)