锦江之星旅馆有限公司旗下某分站SQL注射 | wooyun-2012-011156

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2012-011156

漏洞标题：

锦江之星旅馆有限公司旗下某分站SQL注射

漏洞详情

披露状态：

2012-08-22：积极联系厂商并且等待厂商认领中，细节不对外公开
2012-10-06：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

闲着没事干~

详细说明：

1.测试注入点:http://www.[马赛克].com.cn/Web/Chain/ShowHotel.aspx?Uid=8023
2.工具不好用，手工构造可猜解；

漏洞证明：

表

DN_CodeDescript、DN_District、DN_Unit、HT_CRSRmTp、HT_PayAccountInnHotel、HT_UnitInfo、JW_Apply、JW_ApplytoJoin、JW_BrandInfo、JW_BrandInfoCate、JW_Bus_XZ、
JW_Bus_XZ_Hotels、JW_Channels、JW_ChefInfo、JW_ChefInfoCate、JW_CityInfo、JW_CompanyLink、JW_CompanyLinkClass、JW_CountryList、JW_DataVersion、JW_Department、
JW_Education、JW_FormService、JW_Guest_Consultation、JW_Guest_HotelComment、JW_HotelComment、JW_InfoPicture、JW_InnHotel_NearInfo、JW_JobCate、JW_JobPosition、
JW_LinkCate、JW_LinkCate、JW_MsgStatus、JW_OftenOrderHotel、JW_OftenOrderUser、JW_OperationType、JW_OrderBuyCard、JW_ProInfo、JW_ProInfoCate、JW_qykh、JW_RecType、
JW_ScoreClass、JW_ScoreTrans、JW_ServiceList、JW_SiteMsg、JW_SpecOffs、JW_SpecOffsCate、JW_SpecOffsType、JW_StatisticsClass、JW_UnitMinPrice、JW_UploadFile、JW_UserMsgSite、JW_UserQPlus

部分用户信息

'1156^bill0009@jj-inn.com^QKWFNQW48Y2N6ARM' 
'1157^bill0071@jj-inn.com^57CRZ3GT2A3RLUI9' 
'1158^bill0207@jj-inn.com^F5AC4G6Y4Q2AD58Q'
'1159^bill0248@jj-inn.com^T5DBTLQKW544D4K7'
'1160^bill0060@jj-inn.com^XUHL45YJDZW4EHZ6'
'1162^bill0133@jj-inn.com^EEAEJF5AL55FJU6N'
'1163^bill0141@jj-inn.com^SRD7BKJE7QR6CJNB'
'1164^bill0131@jj-inn.com^XX4FJGD2TCZGUZLB'
'1165^bill0034@jj-inn.com^8BRG4CCYIZ9NEH88'
'1166^bill0080@jj-inn.com^TBM9FWHK6AKNBWHM' 
'1167^bill0089@jj-inn.com^R2CKBC5CYYCYF8FQ'
'1168^bill0092@jj-inn.com^GZ4CF7UDK693K2NA'
'1169^bill0132@jj-inn.com^FR22SC3L4DNT4X8E'
'1170^bill0135@jj-inn.com^D5UFEDBG7QYBWXQR'
'1171^bill0148@jj-inn.com^9NMJFYTKUSGWCTN5'
'1172^bill0150@jj-inn.com^Y7WMNLX6DFKKW7FX'

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 se55i0n@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞