记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

湖北企业投资项目备案系统SQL注入可getshell

2014-07-04 23:35

湖北企业投资项目备案系统SQL注入可getshell,包括湖北省企业投资的备案信息,影响较严重,不法分子可通过此漏洞获取到项目备案信息。

QQ截图20140516095217.png



http://www.hbinvest.gov.cn/prws/index2.aspx?area_code=420600&str= area_code=420600 存在sql注入漏洞

available databases [12]:

[*] master

[*] model

[*] msdb

[*] Northwind

[*] PRS_Common

[*] prws

[*] pubs

[*] RightDB

[*] RPL

[*] tempdb

[*] test

[*] WorkFlow

漏洞证明:

QQ截图20140516095622.png

修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2014-060970

阅读:90950 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“湖北企业投资项目备案系统SQL注入可getshell”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云