飞象网某站SQL注入

漏洞概要

缺陷编号:WooYun-2014-089059

漏洞标题:飞象网某站SQL注入

相关厂商:飞象网

漏洞作者:路人甲

提交时间:2014-12-29 19:02

公开时间:2015-02-12 19:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2014-12-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

页面存在sql注射漏洞-直接可sqlmap扫,sap站点mssql数据库!可直接爆裤!
后台也泄漏了 详细看说明把!

详细说明:

http://www.cctime.com/weixin/index.asp?tid=952889(万恶的注入点)百度查了下 还是新闻源,重权6的站,这个站点不少值钱把!飞象网-百度新闻源重权6pr7页面存在sql注射漏洞 可直接爆裤拿webshell 直接看漏洞证明把后台也泄漏了 http://www.cctime.com/tm92dif/login/login.asp 管理员登入地址,

漏洞证明:

直接爆了数据库

下面是表有50 多个

下面是字段

http://www.cctime.com/tm92dif/login/login.asp 管理员登入地址我就不一一检测了,50多个表,太麻烦了。

修复方案:

你们比我要专业了!

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  • N/A