HanDs
管理员

[7月漏洞公开] 鼎捷软件某重要系统存在sql注入漏洞(20库/已shell可内网/数十万邮件/订购明细) 



RT

详细说明:

鼎捷软件用户服务专区e-Service

http://eservice.digiwin.com.cn/

QQ截图20160520204719.png



QQ截图20160520205301.png



内网

QQ截图20160520205341.png



QQ截图20160520205417.png



漏洞证明:

写shell

http://smb.digiwin.com.cn/wpp.aspx

密码:1wpp

多个站受到影响

QQ截图20160520211526.png



各种库

QQ截图20160520223806.png



各种数据

QQ截图20160520224004.png



QQ截图20160520224104.png



QQ截图20160520224334.png



20W条邮件记录也是够了

QQ截图20160520224414.png



QQ截图20160520224518.png



QQ截图20160520224603.png



这个数据更多

100W

QQ截图20160520224709.png



QQ截图20160520224746.png



13W的订购明细

QQ截图20160520225104.png



QQ截图20160520225225.png

修复方案:

参数化查询,删除shell


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复