当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169225

漏洞标题:大连理工某站存在sql注入

相关厂商:大连理工大学

漏洞作者: 猪猪虾

提交时间:2016-01-12 10:31

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-12: 细节已通知厂商并且等待厂商处理中
2016-01-13: 厂商已经确认,细节仅向厂商公开
2016-01-23: 细节向核心白帽子及相关领域专家公开
2016-02-02: 细节向普通白帽子公开
2016-02-12: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

管理员说要给我发个礼物?? 不管怎么说再来一发表示感谢

详细说明:

注入点:http://zizhu.dlut.edu.cn/SurveyPage.aspx?pollid=15


database management system users [35]:
[*] BUILTIN\\Administrators
[*] bysadmin1
[*] chuangxin
[*] crisr
[*] dfxy
[*] dns
[*] dutdice2010
[*] dutlz
[*] dutoffice
[*] dutsice2010
[*] dutxb
[*] ggg
[*] gsNews_User
[*] itsde
[*] jianyiy
[*] JiJianWeiAdmin
[*] jijin0318
[*] JskfY
[*] kzxy
[*] meme
[*] mpagl
[*] nevl
[*] nic
[*] nicweb
[*] order2016
[*] proflog
[*] renwen
[*] sa
[*] sme
[*] ssgl
[*] tianyi
[*] xyzh
[*] ZhaoShengAdmin
[*] zhaoshengnew
[*] zizhu


注入1.png


注入2.png


注入3.png


注入4users.png


注入5.png


数据.png


这么多的表!!!! 漏洞存在!!!仅作测试!!!尽快修补!

漏洞证明:

以上足以证明漏洞存在!!

注入4users.png


注入1.png


修复方案:

过滤!!

版权声明:转载请注明来源 猪猪虾@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-01-13 08:10

厂商回复:

网站已经限制访问,通知责任部门处理,谢谢!

最新状态:

暂无

漏洞评价:

评价