12306多处SQL注入(涉及某内部系统)

漏洞概要

缺陷编号:WooYun-2014-088789

漏洞标题:12306多处SQL注入(涉及某内部系统)

相关厂商:中国铁道科学研究院

漏洞作者:anonymer

提交时间:2014-12-26 17:00

公开时间:2015-02-09 17:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-12-26: 细节已通知厂商并且等待厂商处理中
2014-12-26: 厂商已经确认,细节仅向厂商公开
2015-01-05: 细节向核心白帽子及相关领域专家公开
2015-01-15: 细节向普通白帽子公开
2015-01-25: 细节向实习白帽子公开
2015-02-09: 细节向公众公开

简要描述:

打包吧,别一个一个发了

详细说明:

第一处:12306邮件系统SQL注入URL:http://mail.12306.cn/app/mail/login

DataBase:

Tables:

漏洞证明:

第二处:

第三处:

DataBase:

PayLoad:

修复方案:

希望及时修复

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-12-2617:45

厂商回复:

评估中,谢谢!

最新状态:

暂无

评价

  1. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    同志们别一个一个提交了,扯得蛋疼

  2. 2010-01-01 00:00 Qiudays 白帽子 | Rank:0 漏洞数:0)

    你们这样真的好吗?

  3. 2010-01-01 00:00 黑吃黑 白帽子 | Rank:70 漏洞数:6)

    我擦,再也看不下去了

  4. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    SQL注入的数据库里面满满的都是数据

  5. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    我也希望这些注入点都不存在,但是用户提交了,而且我也是用户

  6. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    @猪猪侠 想想空间很大

  7. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    想象

  8. 2010-01-01 00:00 hkAssassin 白帽子 | Rank:295 漏洞数:28)

    我刚改的密码,难道有泄露了!

  9. 2010-01-01 00:00 黑吃黑 白帽子 | Rank:70 漏洞数:6)

    敢问XXX能认真对待吗?能对我们老百姓负责吗?对我们广大的用户负责吗?那么大的网站,数据一批一批的泄露,你们就这样无动于衷?

  10. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    这脸打的 漂亮啊

  11. 2010-01-01 00:00 袋鼠妈妈 白帽子 | Rank:346 漏洞数:28)

    我要上电视啊!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

  12. 2010-01-01 00:00 Yang 白帽子 | Rank:23 漏洞数:3)

    你这样不怕送快递么?@anonymer

  13. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    CCTV看这里,希望这次可以拍到我!

  14. 2010-01-01 00:00 小鲜肉 白帽子 | Rank:30 漏洞数:5)

    CCAV看这里

  15. 2010-01-01 00:00 Y4ngshu 白帽子 | Rank:30 漏洞数:3)

    前排占座

  16. 2010-01-01 00:00 stevenliu 白帽子 | Rank:9 漏洞数:1)

    你就不怕收到船票啊 这次的12306是多少亿开发的 哎……!!!

  17. 2010-01-01 00:00 野驴~ 白帽子 | Rank:5 漏洞数:2)

    这次一定要上电视啊。看这里

  18. 2010-01-01 00:00 紫衣大侠 白帽子 | Rank:278 漏洞数:23)

    啪啪啪~

  19. 2010-01-01 00:00 小健客 白帽子 | Rank:20 漏洞数:2)

    我也来占个位,前面好多人。

  20. 2010-01-01 00:00 独步清风 白帽子 | Rank:0 漏洞数:0)

    前排关注、、

  21. 2010-01-01 00:00 he1renyagao 白帽子 | Rank:224 漏洞数:28)

    CCTV看这里,希望这次可以拍到我!

  22. 2010-01-01 00:00 he1renyagao 白帽子 | Rank:224 漏洞数:28)

    CCTV看这里,希望这次可以拍到我!

  23. 2010-01-01 00:00 10457793 白帽子 | Rank:239 漏洞数:20)

    不能单单用金额来说明12306必须那么完美,每个互联网产品不都是从功能再到安全一点点做的吗?去年已经有很多大牛讨论过12306的设计难度了,大家发现漏洞就提交漏洞,不要再指责什么多少钱的事了!国内厂商唯独需要提高的是态度,态度决定一切!

  24. 2010-01-01 00:00 爱捣蛋的鬼 白帽子 | Rank:8 漏洞数:1)

    CCTV看这里,希望这次可以拍到我!

  25. 2010-01-01 00:00 Wangl 白帽子 | Rank:33 漏洞数:3)

    火钳留名!
    =================CCTV,看这里=================================
    妈妈,我终于上电视了。

  26. 2010-01-01 00:00 akast 白帽子 | Rank:244 漏洞数:38)

    这刚补上的CN膜,又又又又被破了,啊啊啊,这可没人要了。

  27. 2010-01-01 00:00 Excalibur 白帽子 | Rank:0 漏洞数:0)

    感谢CCTV,感谢乌云给我这次上电视的机会。(●'◡'●)ノ♥
    哥们撑住。

  28. 2010-01-01 00:00 Alen 白帽子 | Rank:54 漏洞数:6)

    葫芦娃葫芦娃,一天多少个洞挖

  29. 2010-01-01 00:00 迦南 白帽子 | Rank:0 漏洞数:0)

    CCTV看这个里啊

  30. 2010-01-01 00:00 泪雨无魂 白帽子 | Rank:11 漏洞数:1)

    我来向大牛们学习学习!

  31. 2010-01-01 00:00 Topman王 白帽子 | Rank:31 漏洞数:6)

    CCAV看这里,感谢乌云给我这次上电视的机会

  32. 2010-01-01 00:00 milan 白帽子 | Rank:73 漏洞数:8)

    我要上电视啦

  33. 2010-01-01 00:00 Arrow 白帽子 | Rank:12 漏洞数:1)

    我是来看直播的

  34. 2010-01-01 00:00 quEry 白帽子 | Rank:0 漏洞数:0)

    我也要上电视!!!

  35. 2010-01-01 00:00 Anonymous.L 白帽子 | Rank:27 漏洞数:2)

    大家好,楼上要上电视的都已经被公安部门抓走了。

  36. 2010-01-01 00:00 小思 白帽子 | Rank:0 漏洞数:0)

    啊!疼!

  37. 2010-01-01 00:00 你大爷在此 百无禁忌 白帽子 | Rank:0 漏洞数:0)

    那么问题来了 我要上报纸 总行了吧

  38. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @你大爷在此 百无禁忌 那么问题来了 我要上杂志 总行了吧

  39. 2010-01-01 00:00 Non-polar 白帽子 | Rank:18 漏洞数:3)

    @10457793 顶一个,态度决定高度!

  40. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、我要上课本行了吧

  41. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 关注我 即可获得上课本封面机会一次

  42. 2010-01-01 00:00 todaro 白帽子 | Rank:30 漏洞数:3)

    来晚了 上我上我

  43. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 [email protected] 机会一次

  44. 2010-01-01 00:00 贫道来自河北 白帽子 | Rank:95 漏洞数:12)

    哥哥 修复了没有啊

  45. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 [email protected]

  46. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心 关注我即可解锁新姿势一枚。

  47. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、关注我即可解锁新姿势一枚。0-0 @错了。

  48. 2010-01-01 00:00 H1d3r 白帽子 | Rank:18 漏洞数:1)

    我也要上电视!!!

  49. 2010-01-01 00:00 Angelic47 白帽子 | Rank:0 漏洞数:0)

    妈妈我要上电视啦~CCAV看这里~

  50. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 我要解锁所有姿势,多少rank,开个价。

  51. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 只需要10rank 即可解锁所有姿势。付款后联系我

  52. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 逗比,问你个事,怎么设置头像?为嘛我没有头像,你个4rank的就有头像?

  53. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 我也不知道。你不说我都不知道。

  54. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 好了 我研究出来了。http://zone.wooyun.org/ 这里点击右上角管理,然后修改图像即可

  55. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 谢谢了,不多说,找到我qq,送你一个10rank的洞。

  56. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、你这么吊 我知道不

  57. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 肯定知道啊,百度,360上面都有我qq,找到就算你厉害。关注我把,到时候漏洞里面看得见我qq的。。。

  58. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 。。好吧 你赢了。

  59. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 大不了我也关注你啦。。。

  60. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 加QQ

  61. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 自己找去。

  62. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 终有一天我会把你的菊花挖出来

  63. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 跪求来。。。。

  64. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 终究会有那么一天

  65. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @飞段 你会被凤姐睡了

  66. 2010-01-01 00:00 飞段 白帽子 | Rank:0 漏洞数:0)

    @无心、 然后把你睡了

  67. 2010-01-01 00:00 hack雪花 白帽子 | Rank:65 漏洞数:11)

    问下这后面参数怎么找的 构造的?lx=jzx

  68. 2010-01-01 00:00 无心、 白帽子 | Rank:45 漏洞数:7)

    @hack雪花 吊毛,你好

  69. 2010-01-01 00:00 char 白帽子 | Rank:13 漏洞数:2)

    大神,请收下我的膝盖。

  • N/A