漏洞概要
关注数(24)
关注此漏洞
漏洞标题:rockoa某处sql注入可shell
提交时间:2015-12-03 13:59
修复时间:2016-01-17 14:00
公开时间:2016-01-17 14:00
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-12-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
rt
详细说明:
在官网下了个最新版,然后在webrock\webim\record目录下,recordAction.php代码:
sql语句没有过滤就执行了,可以直接用sqlmap跑出来
漏洞证明:
拿官网demo做演示:
其绝对路径可以由报错知道:
然后sqlmap:
其实已经传上去了
**.**.**.**/help1.php 密码 b374k
修复方案:
漏洞回应
漏洞评价:
评价