当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0164582

漏洞标题:台湾医院存在多处sql注入漏洞(臺灣地區)

相关厂商:Hitcon台湾互联网漏洞报告平台

漏洞作者: 路人甲

提交时间:2015-12-27 18:18

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-27: 细节已通知厂商并且等待厂商处理中
2015-12-28: 厂商已经确认,细节仅向厂商公开
2016-01-07: 细节向核心白帽子及相关领域专家公开
2016-01-17: 细节向普通白帽子公开
2016-01-27: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

一堆注入 然后进了后台就上传个黑页 那后台密码经过des解密的·。。

详细说明:

后台:http://**.**.**.**/admin/logined.php 注入点:http://**.**.**.**/site_item_content_2.php?site_map_item_id=307
http://**.**.**.**/site_item_content_2.php?site_map_item_id=291
一堆啊 id=xx 后面基本都行 不列举了 醉了。。。。
账号:admin_rha 密码:1qaz2wsx
上传的黑页:http://**.**.**.**/https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/fck_upload/1.txt

漏洞证明:

<img src="/uplo

9_$OK5LY[2PE]UD8EEK9YCB.png" /<img src="https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201512/25122542c839cd04bad5bff6623d4d4ba982a784.jpg" alt="9P%L7TGKLK13I0{P5WCMXXQ.jpg

FE30NZW4CQQMV424T6CDP$F.jpg

G@DS~UFUT~2ABZXZT~8GNK4.jpg

GN{Y1A5T@)VI~4GC%$STTG0.png

O(58EU@PMJLP8QO9T76NMPF.jpg

P]F%5VIN@R4J@FJP{)[H7BB.png

>ad/201512/25122516c1e5851a0f7f4c9db93f725c9e8ebfcc.jpg" alt="_$Y0}H8OHZ_}S1~{IY@7@{G.jpg" />

{142C46LROK67Q`C[7~L1%U.png

0ZFFRNL8FQ[82ID0@2($80Q.png

1J6SM97ESTVAGYF%)C$DTOD.jpg

修复方案:

过滤 加安全字符 防火墙

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-12-28 17:34

厂商回复:

感謝通報

最新状态:

暂无


漏洞评价:

评价