漏洞概要
关注数(24)
关注此漏洞
漏洞标题:步步高多个系统SQL注射(涉及大量数据/50库+大量企业信息暴露/随意更改订单和信息)
提交时间:2015-10-15 11:50
修复时间:2015-11-29 11:52
公开时间:2015-11-29 11:52
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-10-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-29: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
详细说明:
http://srm.eebbk.com:85/ 供货商登录系统 注册账号,发现一处任意上传,D:\upload\PreVendorProcessFlowDiagramFile\ 但是上传在不是跟web存放位置,无法利用
123456a 123456a 测试账号,登录后,查询发现POST注入
http://srv.okii.com:8015/Login.aspx 售后交流服务中心
登录POST,注入20库 几千万数据都有
数据量庞大,走个大厂商啊
可惜没突破上传,拿到shell进入内网~~
漏洞证明:









第一处注射信息
第二处注射涉及信息
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
评论