某通用型国家水运建设市场信用信息管理系统命令执行及SQL注入下载
-
来源:黑吧安全网 浏览:1285次 时间:2014-04-28
某通用型国家水运建设市场信用信息管理系统存在命令执行及SQL注入
全国水运建设市场信用信息管理系统主站:
http://syxy.mot.gov.cn/credit/index.jsp
此主站是用某通用系统搭建,相关链接中的多个省市系统也是用此通用系统搭建。
如河南省水运建设市场信用信息管理系统:
http://218.29.139.87/index.php
界面布局,架构和全国主站一致,所以是同一系统。
此系统存在命令执行:
http://218.29.139.87:8089/swordfish/wbs/siteDispatherUI!viewRegPerson.action?id=12
而且是system权限哦:
看看云南省水运建设市场信用信息管理系统:
http://221.213.44.146:9000/Default.aspx
看看SQL注入:
http://221.213.44.146:9000/FrmInfoDetail.aspx?Type=ZRZTSGDW&Code=fd5018bc-36d7-49da-b6fa-aaad159b3fba&IsShow=1&SubType=003
再来看山西省公路水运建设招投标及信用信息管理系统:
http://218.26.163.59:8088/sxztb/
这里存在SQL注入和命令执行:
http://218.26.163.59:8088/sxztb/xxfbQueList.action?sy=y&type=12cedc829f91b7516d0000000
而且还是administrator权限
在全国水运建设市场信用信息管理系统主站的相关链接里面的很多省市水运建设市场信用信息管理系统都使用这个系统,影响挺大。
修复方案:
过滤。
升级。
上一篇: 中国电信某营业厅sql注入一枚下载
下一篇: 某多家政府在用OA存在两个遍历漏洞下载