记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

湖北省某政务公开网SQL注入漏洞可影响大量下属机构

2014-07-04 23:35

湖北省财政与编制政务公开网SQL注入影响上百站点,包括湖北省各个县市的财政与编制政务公开网

QQ截图20140516100836.png



SQL注入点:

http://www.hbcz.gov.cn:8080/arkcms/guestbook/index.jsp?siteID=8a8080820b78cd84010b79331b92001e

Table: CMS_USER_USER

[12 columns]

+------------------+----------+

| Column | Type |

+------------------+----------+

| USER_A_TEL | VARCHAR2 |

| USER_B_TEL | VARCHAR2 |

| USER_CJSJ | DATE |

| USER_DESCRIPTION | VARCHAR2 |

| USER_EMAIL | VARCHAR2 |

| USER_ID | VARCHAR2 |

| USER_MSN | VARCHAR2 |

| USER_NAME | VARCHAR2 |

| USER_PASSWORD | VARCHAR2 |

| USER_QQ | VARCHAR2 |

| USER_XGSJ | DATE |

| USER_XM | VARCHAR2 |

+------------------+----------+



通过此注入点最终获取到后台登录用户464个,影响的站点至少有上百

.png



QQ截图20140516102524.png

漏洞证明:

襄阳财政与编制政务公开网

QQ截图20140516101433.png





武汉财政与编制政务公开网

QQ截图20140516101709.png





宜昌财政与编制政务公开网

QQ截图20140516102115.png





影响的站点:

QQ截图20140516101848.png

修复方案:

过滤

知识来源: www.wooyun.org/bugs/wooyun-2014-060976

阅读:72002 | 评论:1 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“湖北省某政务公开网SQL注入漏洞可影响大量下属机构”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云