当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139575

漏洞标题:威客众测主站SQL注入

相关厂商:secwk.com

漏洞作者: wps2015

提交时间:2015-09-07 17:53

修复时间:2015-09-12 17:54

公开时间:2015-09-12 17:54

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-07: 细节已通知厂商并且等待厂商处理中
2015-09-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

本来想提交给威客的,但是看到要上传身份证就怂了

详细说明:

问题出在:http://www.secwk.com/petition/info/taskid/132*.html
为时间盲注

python sqlmap.py -u "http://www.secwk.com/petition/info/taskid/132*.html"  --random-agent  --technique=T


1.png


当前库:

2.png


当前库的表

3.png


不跑了,证明危害就好

漏洞证明:

3.png

修复方案:

过滤

版权声明:转载请注明来源 wps2015@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-12 17:54

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-07 17:54 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    我擦!!!

  2. 2015-09-07 17:54 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    本来想提交给威客的,但是看到要上传身份证就怂了

  3. 2015-09-07 17:54 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    - - ! 威客也在做众测 估计要被忽略

  4. 2015-09-07 17:54 | ago ( 普通白帽子 | Rank:373 漏洞数:56 | long long ago,I am a bird.)

    本来想提交给威客的,但是看到要上传身份证就怂了

  5. 2015-09-07 17:54 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    本来想提交给威客的,但是看到要上传身份证就怂了

  6. 2015-09-07 17:55 | Focusstart ( 普通白帽子 | Rank:574 漏洞数:163 | 努力让某某某成为最幸福的女人!)

    本来想提交给威客的,但是看到要上传身份证就怂了

  7. 2015-09-07 17:56 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    本来想提交给威客的,但是看到要上传身份证就怂了

  8. 2015-09-07 17:58 | greg.wu ( 普通白帽子 | Rank:815 漏洞数:99 | 打酱油的~)

    我夜观天象,这个漏洞要火,前排留名

  9. 2015-09-07 17:58 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  10. 2015-09-07 17:59 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    卧槽! niubility

  11. 2015-09-07 17:59 | 苏州同程旅游网络科技有限公司(乌云厂商)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  12. 2015-09-07 18:00 | 沦沦 ( 普通白帽子 | Rank:504 漏洞数:127 | 爱老婆,爱生活)

    本来想提交给威客的,但是看到要上传身份证就怂了

  13. 2015-09-07 18:00 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @苏州同程旅游网络科技有限公司 你们这群坏人

  14. 2015-09-07 18:00 | DNS ( 普通白帽子 | Rank:194 漏洞数:26 | 杀猪刀啊,杀猪刀啊)

    卧槽 火钳刘明

  15. 2015-09-07 18:01 | Non-polar ( 实习白帽子 | Rank:34 漏洞数:16 | 只要还有明天,今天就永远是起跑线)

    本来想提交给威客的,但是看到要上传身份证就怂了

  16. 2015-09-07 18:01 | idarker ( 路人 | Rank:0 漏洞数:1 | 爱生活,╮(╯▽╰)╭)

    @苏州同程旅游网络科技有限公司 调皮

  17. 2015-09-07 18:01 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  18. 2015-09-07 18:01 | king7 ( 普通白帽子 | Rank:485 漏洞数:101 | 长期1:7回收WB,手续费协商,个位数到三位数...)

    上次是搬迁,这次又搬迁啊

  19. 2015-09-07 18:02 | 0xev4l ( 路人 | Rank:0 漏洞数:1 | 努力吧!骚年!北京买房买车买菜!)

    卧槽 火钳刘明!

  20. 2015-09-07 18:02 | mango ( 核心白帽子 | Rank:1668 漏洞数:248 | 我有个2b女友!)

    脸好疼哦……啪啪啪

  21. 2015-09-07 18:02 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    吓死宝宝了。今天目录遍历的刚看到详情,大量证件图,这又来一发。。。。。

  22. 2015-09-07 18:03 | 血梦 ( 实习白帽子 | Rank:32 漏洞数:11 | www.blackcyber.org)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  23. 2015-09-07 18:05 | Vinc ( 普通白帽子 | Rank:120 漏洞数:22 | :))

    66

  24. 2015-09-07 18:06 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    那么,问题来了,10W+的威客用户,真实用户有多少?要不咱们公布下?

  25. 2015-09-07 18:07 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    我觉得他会报警抓你

  26. 2015-09-07 18:07 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)

    本来想提交给威客的,但是看到要上传身份证就怂了

  27. 2015-09-07 18:08 | 沦沦 ( 普通白帽子 | Rank:504 漏洞数:127 | 爱老婆,爱生活)

    本来想提交给威客的,但是看到要上传身份证就怂了

  28. 2015-09-07 18:10 | SPRITEKING ( 路人 | Rank:18 漏洞数:3 | x)

    @苏州同程旅游网络科技有限公司 真调皮

  29. 2015-09-07 18:17 | 海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)

    先修复,后忽略

  30. 2015-09-07 18:17 | 日出东方 ( 普通白帽子 | Rank:161 漏洞数:51 )

    混个脸熟

  31. 2015-09-07 18:24 | 鬼色[N.S.T] ( 普通白帽子 | Rank:130 漏洞数:18 | 雷州半岛)

    连2千万投资都堵不住的漏洞啊,可见这漏洞是多么的巨大,咋不先给自己众测一下呢。

  32. 2015-09-07 18:26 | hey_man ( 路人 | Rank:8 漏洞数:2 | A man)

    居然说10w+人应该把真实用户数据量爆出来打打脸。

  33. 2015-09-07 18:27 | ksss ( 实习白帽子 | Rank:98 漏洞数:25 | no!)

    本来想提交给威客的,但是看到要上传身份证就怂了

  34. 2015-09-07 18:27 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    本来想提交给威客的,但是看到要上传身份证就怂了

  35. 2015-09-07 18:29 | Submit ( 普通白帽子 | Rank:338 漏洞数:81 )

    本来想提交给威客的,但是看到要上传身份证就怂了

  36. 2015-09-07 18:32 | 0x334 ( 普通白帽子 | Rank:171 漏洞数:35 | 漏洞无影响,已忽略~~~~~~~)

    本来想提交给威客的,但是看到要上传身份证就怂了

  37. 2015-09-07 18:32 | 伟大娃娃 ( 普通白帽子 | Rank:130 漏洞数:10 | 改变世界)

    啊哈哈哈 感觉要关门了呢。

  38. 2015-09-07 18:32 | Undoit ( 普通白帽子 | Rank:167 漏洞数:25 | 打酱油)

    本来想提交给威客的,但是看到要上传身份证就怂了

  39. 2015-09-07 18:39 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    本来想提交给威客的,但是看到要上传身份证就怂了

  40. 2015-09-07 18:39 | idarker ( 路人 | Rank:0 漏洞数:1 | 爱生活,╮(╯▽╰)╭)

    10W+ 用户,好吓人哦 -。-

  41. 2015-09-07 18:42 | 南宁网警Mx ( 路人 | Rank:8 漏洞数:5 | 我是独行侠。有心交友qq1552673833)

    火前留。由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  42. 2015-09-07 18:43 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  43. 2015-09-07 18:47 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  44. 2015-09-07 18:50 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    看样子白帽子不真是为了钱而众测啊。。。 赞!白帽子

  45. 2015-09-07 18:52 | 高小厨 ( 普通白帽子 | Rank:814 漏洞数:74 | 不会吹牛的小二不是好厨子!)

    某同学:老师,又有人打我老师:打你哪了?某同学:还是脸老师:上回的脸不是都丢尽 了么,咋还有?

  46. 2015-09-07 18:58 | Xmyth_夏洛克 ( 普通白帽子 | Rank:477 漏洞数:63 | 啥都不会)

    好屌。。。

  47. 2015-09-07 18:58 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    这一天天的,太尼玛刺激了!

  48. 2015-09-07 18:58 | 夸父追日 ( 实习白帽子 | Rank:40 漏洞数:6 | 每天六个小时的睡眠,十二节四十五分钟到一...)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.某同学:老师,又有人打我 老师:打你哪了? 某同学:还是脸 老师:上回的脸不是都丢尽 了么,咋还有?

  49. 2015-09-07 19:27 | leakless ( 路人 | Rank:6 漏洞数:3 | 今天我没吃药感觉自己萌萌哒~~)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  50. 2015-09-07 19:29 | secer ( 路人 | Rank:5 漏洞数:2 | 来乌云学习学习)

    好疼。。

  51. 2015-09-07 19:39 | Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)

    哭了..

  52. 2015-09-07 19:59 | 暗羽 ( 路人 | Rank:21 漏洞数:6 | 喵呜,给人类的智商跪了)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  53. 2015-09-07 20:02 | windcarp ( 路人 | Rank:2 漏洞数:1 | 信安在读生一枚,求各位大大关照~)

    本来想提交给威客的,但是看到要上传身份证就怂了

  54. 2015-09-07 20:45 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    呵呵,自食其果,脑子发热一心只想着钱

  55. 2015-09-07 20:46 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  56. 2015-09-07 20:58 | lightless ( 实习白帽子 | Rank:48 漏洞数:11 | HDUISA成员,被某厂坑了一波,求工作。)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  57. 2015-09-07 21:25 | 不会游泳的鱼 ( 普通白帽子 | Rank:112 漏洞数:35 | 非著名白帽子)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  58. 2015-09-07 22:21 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    本来想提交给威客的,但是看到要上传身份证就怂了

  59. 2015-09-07 23:38 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    坐等撕逼。。。

  60. 2015-09-07 23:43 | uhayate ( 路人 | Rank:0 漏洞数:1 )

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题.

  61. 2015-09-07 23:51 | 动感超人 ( 实习白帽子 | Rank:42 漏洞数:10 | 小心动感光波)

    问世间情为何物,佛日:废物!!! 《悟空传》

  62. 2015-09-08 00:59 | Chinalover ( 路人 | Rank:16 漏洞数:4 | 你看得到我打在屏幕上的字,却看不到我落在...)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题

  63. 2015-09-08 01:42 | roomy ( 路人 | Rank:5 漏洞数:4 | New is always better)

    来晚了,后排强势围观…

  64. 2015-09-08 04:46 | 落叶_test ( 路人 | Rank:15 漏洞数:1 | 爱渗透 爱搞基)

    真6 坐等更猛的料

  65. 2015-09-08 08:05 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    关注下

  66. 2015-09-08 09:00 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    脸好肿。

  67. 2015-09-08 10:09 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    由于近日威客众测平台频繁遭到大量DDOS攻击,公司在做服务器迁移,目前该漏洞为低危注入,这并非是威客众测平台存在的长期问题,不会造成严重危害,现在已经修正。请原作者修改标题

  68. 2015-09-08 10:40 | suolong ( 实习白帽子 | Rank:47 漏洞数:11 | 我有个野心,就是要成为世界第一的贱士!!)

    mark , 坐等厂商 忽略~

  69. 2015-09-08 11:00 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    弱弱问一句,洞主可还好?

  70. 2015-09-08 12:51 | just_joker ( 实习白帽子 | Rank:72 漏洞数:17 | ..........)

    为什么不放首页指定,害我差点错过。

  71. 2015-09-08 13:16 | we8_ ( 实习白帽子 | Rank:32 漏洞数:7 | 嗯。)

    弱弱问一句,洞主可还好?

  72. 2015-09-08 13:50 | 岩少 ( 普通白帽子 | Rank:586 漏洞数:171 | 破晓团队)

    弱弱问一句,洞主可还好?

  73. 2015-09-08 14:36 | 红客十年 ( 普通白帽子 | Rank:334 漏洞数:63 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    弱弱问一句,洞主可还好?

  74. 2015-09-08 14:39 | 猫和老鼠 ( 路人 | Rank:4 漏洞数:3 | ...)

    最新消息,洞主被抓走了,临走前说了一句:本来想提交给威客的,但是看到要上传身份证就怂了

  75. 2015-09-08 17:30 | 血梦 ( 实习白帽子 | Rank:32 漏洞数:11 | www.blackcyber.org)

    弱弱问一句,洞主可还好?

  76. 2015-09-08 17:45 | DloveJ ( 普通白帽子 | Rank:1107 漏洞数:200 | <a href=javascrip:alert('xss')>s</a> 点...)

    @肉肉 肉肉问一句 洞主可好

  77. 2015-09-08 22:10 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    mark

  78. 2015-09-09 08:26 | MAX丶 ( 路人 | Rank:3 漏洞数:4 | 人生路上总有一些不顺心的事情,让我们跳过...)

    至于吗就一个运维失误吵到现在.....】

  79. 2015-09-09 09:38 | just_joker ( 实习白帽子 | Rank:72 漏洞数:17 | ..........)

    @MAX丶 奥,SQL注入是运维写的。。。卧底吗

  80. 2015-09-09 10:12 | sOnsec ( 实习白帽子 | Rank:93 漏洞数:24 | 安全是什么...)

    - - 万人虐

  81. 2015-09-12 11:07 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    要公开了

  82. 2015-09-12 11:37 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    前排坐等公开

  83. 2015-09-12 15:40 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    坐等公开

  84. 2015-09-12 18:40 | 暗羽 ( 路人 | Rank:21 漏洞数:6 | 喵呜,给人类的智商跪了)

    上了安全狗,真是日狗了233

  85. 2015-09-12 22:08 | Mark ( 路人 | Rank:8 漏洞数:2 | 渗透你的心)

    上了安全狗,真是日狗了233

  86. 2015-09-13 22:54 | 淡蓝色の忧伤 ( 普通白帽子 | Rank:172 漏洞数:26 | 开启审计php代码模式 (⊙v⊙)嗯)

    危害等级:无影响厂商忽略对安全是这种态度,还好意思说是做安全的

  87. 2015-09-13 23:27 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | O_o)

    居然忽略了。。

  88. 2015-09-13 23:38 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    火了这个

  89. 2015-09-17 09:56 | 三秋 ( 路人 | Rank:2 漏洞数:2 | xxx)

    本来想提交给威客的,但是看到要上传身份证就怂了

  90. 2015-09-18 09:56 | Secret ( 路人 | Rank:28 漏洞数:5 | 没什么好说的~~~)

    居然被忽略了,这种SB厂商做你麻痹众测啊

  91. 2015-09-18 10:34 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    居然被忽略了,这种SB厂商做你麻痹众测啊

  92. 2015-09-18 11:24 | KevAxe ( 路人 | Rank:22 漏洞数:4 | 好好学习!好好学习!!好好学习!!!)

    我擦,已忽略。。。

  93. 2015-09-21 21:33 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    威客被玩坏了,你们这群坏人