当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107055

漏洞标题:某市车管所SQL注入大量车主资料

相关厂商:某市车管所

漏洞作者: 路人甲

提交时间:2015-04-13 10:49

修复时间:2015-05-29 10:50

公开时间:2015-05-29 10:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-13: 细节已通知厂商并且等待厂商处理中
2015-04-14: 厂商已经确认,细节仅向厂商公开
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

RT

详细说明:

mask 区域
*****^^^*****
1.://**.**.**//www.szcgs.com.cn/wscgs2/Query_cond12.aspx</code>_
*****f04dbceffec413b3bc5f0a.png*****
*****存 ^*****
*****2/Query_cond*****
*****zcgs.c*****
*****ion: ke*****
*****ength*****
*****ol: ma*****
*****,application/xml;q=0*****
*****www.szcg*****
*****eWebKit/537.36 (KHTML, like G*****
*****on/x-www-for*****
*****.com.cn/wscgs*****
*****: gzip, *****
*****: zh-CN,*****
*****FAFBJJOI; ASP.NET_Sessi*****
**********
*****LDw8WAh8ABQQzMDU3ZGRkSrJcz71z0CsWSBtNbKfh5p2yJVY%3D&__VIEWSTATEGENERATOR=BACEFA3B&__EVENTVALIDATION=%2FwEWBQLJ5ublDwLJ4frZBwLYtr%2BxAgK8%2FvbCDgKt7K6OC21OuNc7hA5YlvWtF9e*****

漏洞证明:

mask 区域
***** injection points with*****
*****:
*****
*****-*****
*****: P*****
*****tPlaceHolder*****
*****rror-b*****
*****ed - WHERE or HA*****
*****GUMENT=&__VIEWSTA*****
*****MDE15bm0NOaciDEw5pe*****
*****bmJzcDsmbmJzcDsmbmJ*****
*****oIHvvIzlj6/lr7npooT*****
*****QzMDU3ZGRkSrJcz71z0C*****
*****VALIDATION=/wEWBQLJ5*****
*****amp;ctl00$ContentPla*****
*****(CHR(60)||CHR(58)||C*****
*****WHEN (2899=2899) TH*****
*****98)||CHR(113)||CHR(6*****
*****older1$txtLsh=admin&amp*****
*****er1$btnNext=%E4%B8*****
**********
*****R time-b*****
***** AND time*****
*****GUMENT=&__VIEWSTA*****
*****MDE15bm0NOaciDEw5pe*****
*****bmJzcDsmbmJzcDsmbmJ*****
*****oIHvvIzlj6/lr7npooT*****
*****QzMDU3ZGRkSrJcz71z0C*****
*****VALIDATION=/wEWBQLJ5*****
*****amp;ctl00$ContentPla*****
*****SAGE(CHR(86)||CHR(67*****
*****PlaceHolder1$txtLsh=admi*****
*****older1$btnNext=%E4*****
*****-*****
***** back-end D*****
*****stem: Window*****
*****, Microsoft IIS 6.*****
*****MS: Or*****
***** going to be used o*****
*****tabase names *****
*****ing database*****
***** query used r*****
*****atabas*****
*****TXS*****
***** H*****
***** J*****
*****DSY*****
***** O*****
*****DM_*****
***** O*****
*****LAP*****
*****RDS*****
*****UTL*****
***** P*****
***** Q*****
*****S_C*****
*****S_C*****
*****S_E*****
*****S_O*****
*****S_W*****
*****MAN*****
*****COT*****
***** S*****
***** S*****
*****YST*****
*****ZZH*****
*****KSY*****
*****MSY*****
***** W*****
*****t;/co*****
*****种类,手机号码,行政区划,车辆类型,号牌号码,联系电话,住所详细地址*****

修复方案:

过滤吧

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-04-14 10:49

厂商回复:

验证确认所描述的问题,已通知其修复。

最新状态:

暂无


漏洞评价:

评论