当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0137548

漏洞标题:看我如何拿下施强集团大量内部人员信息(非常详细)

相关厂商:施强集团

漏洞作者: 路人毛

提交时间:2015-08-28 10:54

修复时间:2015-10-12 10:56

公开时间:2015-10-12 10:56

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

施强集团成立于1995年2月,总部坐落于中国杭州国家高新技术产业开发区,其大型药品生产基地位于桐庐县经济开发区(中国杭州国家高新技术产业开发区桐庐园区),总占地面积11.3万平方米、总建筑面积约26万平方米,是一家集医药、教育、出国中介、网络科技等多个业务领域的集团公司。集团目前在全国设有230个分公司或办事处,在澳大利亚、英国、香港、澳门设有分公司,拥有中、外高素质员工3000余人。

详细说明:

mask 区域
1.http://**.**.**/manage/Main.aspx


一登录,看到这么花式的后台,我对万能密码已经不报希望了
职业习惯还是让我输入了一下Admin'or '1'='1,然后。。。然后。。。
我居然就进入了后台,这么详细的资料,应该就是档案吧
这个我发现了好几天了。每天都有7-8条新信息。。
好想留着做黑产啊
不过作为一个有节操的白帽子,我还是上交给国家吧

漏洞证明:

2.jpg

1.jpg


修复方案:

找你们运维
求小礼物

版权声明:转载请注明来源 路人毛@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2015-09-29 13:38 | 路人毛 ( 实习白帽子 | Rank:48 漏洞数:15 | 呵呵)

    @乌云小秘书 这个洞貌似是要被无视了,码下吧

  2. 2015-09-29 14:45 | 乌云小秘书 认证白帽子 ( 普通白帽子 | 还没有发布任何漏洞 | 第1!绝对不意气用事!第2!绝对不漏判任何一...)

    @路人毛 好的

  3. 2015-10-12 18:50 | 路人毛 ( 实习白帽子 | Rank:48 漏洞数:15 | 呵呵)

    @疯狗 求补分