惠普又一站点MySQL注射(附验证脚本)

漏洞概要

缺陷编号:WooYun-2014-088431

漏洞标题:惠普又一站点MySQL注射(附验证脚本)

相关厂商:惠普

漏洞作者:lijiejie

提交时间:2014-12-24 14:01

公开时间:2015-02-07 14:02

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2014-12-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

惠普又一站点MySQL注射(附验证脚本)

详细说明:

注入点:

参数country可注入。MySQL time blind.

漏洞证明:

猜解user(),得到:

验证python脚本:

修复方案:

过滤

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  1. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    注入小王子,三连发

  2. 2010-01-01 00:00 lijiejie 白帽子 | Rank:2210 漏洞数:264)

    @猪猪侠 上次见到猪猪侠的风采,大侠果然威武! 🙂

  3. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    @lijiejie 我关注你的微博了,注入牛,加个QQ呗。

  4. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    都开始HP了。我靠猪猪侠都关注你了!

  5. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    @wefgod 我也关注你了啊

  6. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @猪猪侠 真的假的,受宠若惊

  • N/A