当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102491

漏洞标题:我是如何获得武大所有领导的详细资料(包括家人个人经历)

相关厂商:whu.edu.cn

漏洞作者: 路人甲

提交时间:2015-03-20 09:33

修复时间:2015-05-09 08:26

公开时间:2015-05-09 08:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-20: 细节已通知厂商并且等待厂商处理中
2015-03-25: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向核心白帽子及相关领域专家公开
2015-04-14: 细节向普通白帽子公开
2015-04-24: 细节向实习白帽子公开
2015-05-09: 细节向公众公开

简要描述:

内部OA外网可访问 可拖库...

详细说明:

mask 区域 
1.http://**.**.**


构造一下万能密码就能进去
admin' or 1=1-- s

D663EF51-A114-4275-ABE6-4F8C69F459B7.png


可导出excel

D62B340A-EBD9-4094-83A0-985C28BE3A24.png


11EFC0A3-C74D-44C5-AE4A-E63FE8EE0EDD.png


数据很全 太铭感就不截图详细了

漏洞证明:

D62B340A-EBD9-4094-83A0-985C28BE3A24.png


11EFC0A3-C74D-44C5-AE4A-E63FE8EE0EDD.png


数据很全 太铭感就不截图详细了

修复方案:

fix it!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-03-25 08:25

厂商回复:

CNVD确认并复现所述情况(只有少量个人信息,非所有),已经转由CNCERT下发给湖北分中心,由其后续尝试协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-20 10:57 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

    作死。。。自己坑自己学校哈

  2. 2015-03-20 13:01 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    小飞

  3. 2015-03-20 13:27 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    兔子不吃窝边草

  4. 2015-03-20 14:31 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活,爱安全!)

    这都可以?

  5. 2015-03-20 14:36 | 奋斗的阿呆 ( 普通白帽子 | Rank:138 漏洞数:30 | 一二三,不许动!)

    改成我是如何获得武大校花的详细资料的更有吸引力

  6. 2015-03-20 14:49 | 重庆易极付科技有限公司(乌云厂商)

    欣赏你的做事风格,大义灭校!

  7. 2015-03-20 15:27 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    论起一个霸气名字的重要性

  8. 2015-03-20 16:03 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    一会是 路人甲 ,一会是 武大信安协会一定是我眼花了!!

  9. 2015-03-20 17:32 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    这种事,当然先搞自己学校了

  10. 2015-03-20 17:56 | an0nym0us ( 路人 | Rank:18 漏洞数:3 | no)

    黄灿灿?还是……

  11. 2015-03-20 18:00 | izy ( 普通白帽子 | Rank:111 漏洞数:22 | http://1zy.pw/)

    哎...

  12. 2015-03-20 18:19 | Alen ( 实习白帽子 | Rank:86 漏洞数:21 | 精华漏洞数:10 | WooYun认证√ Duang)

    作者怎么又是路人甲了 可逆的me

  13. 2015-03-20 18:38 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @重庆易极付科技有限公司 厂商,回复我秒笑了,哈哈

  14. 2015-03-20 18:58 | Catsay ( 实习白帽子 | Rank:85 漏洞数:16 | 屌丝一枚)

    厂商回复亮了

  15. 2015-03-20 19:24 | 小胖纸 ( 实习白帽子 | Rank:37 漏洞数:12 | 找人拿指定金融期货原油网站,只要客户资料...)

    @重庆易极付科技有限公司 厂商,回复我秒笑了,哈哈

  16. 2015-03-20 19:34 | CTAA ( 路人 | Rank:30 漏洞数:5 | 么么哒)

    @重庆易极付科技有限公司 哈哈哈哈,你把我笑到了~~

  17. 2015-03-20 20:09 | xbuther ( 路人 | Rank:4 漏洞数:3 | 多多交流,一起进步。。。O(∩_∩)O~)

    搞自己学校 6666666666

  18. 2015-03-20 20:37 | 如意 ( 路人 | Rank:2 漏洞数:1 )

    拿下了邮箱,社工得到了一切信息

  19. 2015-03-20 21:48 | class ( 路人 | Rank:0 漏洞数:1 | class)

    @重庆易极付科技有限公司 厂商,回复我秒笑了,哈哈

  20. 2015-03-20 22:07 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    @重庆易极付科技有限公司 ....

  21. 2015-03-20 22:39 | 鬼五 ( 普通白帽子 | Rank:214 漏洞数:83 )

    后排求吴倩手机号!

  22. 2015-03-20 23:17 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

    一会是 路人甲 ,一会是 武大信安协会 一定是我眼花了!!

  23. 2015-03-20 23:34 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    坐等忽略。@_@

  24. 2015-05-12 11:32 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    没修。。。