[公开漏洞]中网科技主站存在sql注入漏洞

中网科技主站存在sql注入漏洞 相关厂商： 中网科技 漏洞作者：煦阳。 提交时间：2014-05-20 15:35 公开时间：2014-07-04 15:36 漏洞类型：SQL注射漏洞 危害等级：中 自评Rank：5 漏洞状态： 未联系到厂商或者厂商积极忽略 漏洞来源：http://www.wooyun.org Tags标签： 无 漏洞详情 披露状态：

2014-05-20：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-07-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

『中网科技』成立于2002年，主营云计算因特网数据中心(Cloud Internet data center)和因特网接入(ISP)，因特网信息服务(ICP)，电子商务（E-commerce）并提供相关解决方案。

『经营范围』CIDC：提供自建多线机房、双线机房，电信机房、联通机房等机房租用、机柜租用、大带宽租用、服务器租用、服务器托管、云服务器租用等业务和相关解决方案；IBS：提供域名注册、虚拟主机、网站寄存、企业邮局、VPS主机、网站建设、推广等业务和相关解决方案。

详细说明：

mssql 报错注入

http://www.chinanet.cc/cpweb/cpweb.asp?typeid=1

漏洞证明：

截两张图证明一下好了。

手工注入太累人了..

代理用户还是蛮多的..

http://www.chinanet.cc/adm/ 星外.. 后台不给访问。

修复方案：

检测提交数据..

版权声明：转载请注明来源 煦阳。@乌云 漏洞回应 厂商回应：

未能联系到厂商或者厂商积极拒绝