漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2015-09-01: 细节已通知厂商并且等待厂商处理中
2015-09-06: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
最简单的sql注入,从一个sql注入点拖出了整个库,影响到对外公布的全国的招生信息以及大量学生的个人资料等
详细说明:
http://zsb.hrbcu.edu.cn/showInfo.php?type=xinxi&&id=318
这个链接存在sql注入
并且可以在后台轻易地发现robots.txt文件,从而打开直接找到后台链接
http://zsb.hrbcu.edu.cn/admin/
从而可以轻易登陆后台,上传马,或者发布盗取信息等。
漏洞证明:
http://zsb.hrbcu.edu.cn/showInfo.php?type=xinxi&&id=318链接的sql注入证明
首先http://zsb.hrbcu.edu.cn/showInfo.php?type=xinxi&&id=318正常的界面
http://zsb.hrbcu.edu.cn/showInfo.php?type=xinxi&&id=318'加了分号的链接,就可以清楚的知道了数据库是mysql
http://zsb.hrbcu.edu.cn/showInfo.php?type=xinxi&&id=318+and+1=2 的链接 可以看到新闻没了,and1=1的就不发图了
![Y1]B705{`IP0R1~7KRWJ4GF.jpg](https://img.wooyun.laolisafe.com/upload/201508/20103237bb67932c18d140a8f4ab426a3fc3732a.jpg)
然后手工注入了一下,木有成功,就用sqlmap跑了下,如下图
![V}[8A5]8A5_GF~1EFU9W8$9.jpg](https://img.wooyun.laolisafe.com/upload/201508/201121297680b0956d133ae6d05f75f5aae14d7e.jpg)
由于之前手工注入报出来过hrb1数据库,所以都不用看当前数据库就可以知道是hrb1数据库果断看表
有admin_user果断看,结果就看到了账号,具体什么账号忘截图了,密码md5值如下
上网在线解一下就出结果了,之后扫后台发现了robots.txt文件
/admin不让看就偏看,结果就这么顺利找到后台了
输入数据库里找到的账号密码成功登陆
之后就可以做很多事情了,像是从后台传马之类的
修复方案:
单纯的修复掉这个sql注入点就好了吧
版权声明:转载请注明来源 ShortTailedRat@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-09-06 17:42
厂商回复:
最新状态:
暂无