这其实是个励志故事，告诉我们只要坚持，再烂的程序员都可以写到亿级别的项目的

漏洞概要关注数(67) 关注此漏洞

缺陷编号：
WooYun-2012-12758

漏洞标题： 12306漏洞一包裹

相关厂商：
中国铁道科学研究院

漏洞作者：
qiaoy

提交时间： 2012-09-27

漏洞类型： SQL注射漏洞

危害等级： 高

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org

Tags标签： 无

0人收藏 收藏
分享漏洞：


100

漏洞详情

披露状态：

2012-09-27： 细节已通知厂商并且等待厂商处理中

2012-09-27： 厂商已经确认，细节仅向厂商公开

2012-10-07： 细节向核心白帽子及相关领域专家公开

2012-10-17： 细节向普通白帽子公开

简要描述：

XSS、绝对路径泄漏、SQL注入（分站有个注入，好几亿的项目，没敢跑库,跑坏了赔不起.......）

漏洞hash：83abf3b6f6e210385ab59b789f72efe3

版权声明：转载请注明来源 qiaoy@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2012-09-27

厂商回复：

已确认。修补中。谢谢！

最新状态：

暂无

评论

2012-09-27 10:46 | 猥琐 (
实习白帽子 | Rank:6 漏洞数:2 | 学习什么的最重要！)

0

一包裹！！！

2012-09-27 10:51 | Nimda (
实习白帽子 | Rank:10 漏洞数:1 | <br> <br> <br>)

0

擦！ 擦擦擦

2012-09-27 10:56 | 笑傲浆糊 (
实习白帽子 | Rank:12 漏洞数:1 | 没死，还活在)

0

一包裹！！！求快递

2012-09-27 11:50 | 蟋蟀哥哥 (
普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

0

名字太淫荡了。。你还跑库。。。你能跑动么????网站一会就打不开 一会打不开

2012-09-27 12:14 | 使命召唤 (
实习白帽子 | Rank:13 漏洞数:4 | 菜鸟一个)

0

@蟋蟀哥哥 没个20M光纤还真不敢

2012-09-27 12:32 | zeracker (
普通白帽子 | Rank:891 漏洞数:117 | 前面的帅锅，你的腰子掉了。)

0

— —。

2012-09-27 12:55 | 无敌L.t.H (
实习白帽子 | Rank:5 漏洞数:2 | Learning to hacking.)

0

先露源IP出来给大家爽爽

2012-09-27 13:00 | pangshenjie (
实习白帽子 | Rank:19 漏洞数:5 )

0

围观、、、

2012-09-27 14:06 | 蚂蚁牙黑 (
实习白帽子 | Rank:17 漏洞数:2 | 111)

0

先得去买几斤硬盘啊

2012-09-27 14:50 | 四先生 (
实习白帽子 | Rank:10 漏洞数:1 | 你的热爱能走多远？我的热爱飞的过沧海！)

0

一包裹！！！求快递 记得走圆通

2012-09-27 15:33 | xiaoshi (
实习白帽子 | Rank:7 漏洞数:2 | 俺是来打酱油的)

0

老板，来一斤！

2012-09-27 15:35 | 丁小乐 (
实习白帽子 | Rank:0 漏洞数:1 | 新手上路)

0
http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G 这个页面，自重输入1'

2012-09-27 15:45 | Breaker (
实习白帽子 | Rank:12 漏洞数:1 | .)

0

...这么NB

2012-09-27 15:53 | 小威 (
普通白帽子 | Rank:47 漏洞数:9 | 一沙一世界 一树一菩提)

0

就这站的速度 裤子还真脱不下来 这属于防脱裤新技术

2012-09-27 16:03 | hongygxiang (
普通白帽子 | Rank:92 漏洞数:7 | 蛋疼)

0

有必要先了解下数据库机器有没有帖符；

2012-09-27 16:18 | 三叶草 (
实习白帽子 | Rank:14 漏洞数:5 | 幸福是靠自己努力的)

0

貌似火了...http://zone.wooyun.org/content/1156

2012-09-27 16:32 | super480 (
实习白帽子 | Rank:22 漏洞数:2 )

0

货到付款吗

2012-09-27 16:44 | Viigoss (
实习白帽子 | Rank:6 漏洞数:1 | viigoss)

0

中国铁道科学研究院 他网站服务器上库里没多少有用的。难道你内网渗透了？

2012-09-27 16:55 | horseluke (
普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

0

洞主继红孩子之后，又在刚好的时刻刚好的火了...

2012-09-27 17:10 | 网络骑士 (
普通白帽子 | Rank:33 漏洞数:3 | 要低调！ 低调才是最NB的炫耀！)

0

测试到100+个字段还没出现正常页面…… 我唯一好奇的是 这表泥玛有多少字段

2012-09-27 17:11 | asmc (
普通白帽子 | Rank:40 漏洞数:9 | 爱好和平,爱好友谊 忠诚爱情,孝廉一世)

0

36

2012-09-27 17:41 | Joey
Yin ( 普通白帽子 | Rank:60 漏洞数:5 )

0

找到注入点了，试了试不敢继续了，怕被敲门。尼玛几个亿的项目，到时候都不知道怎么死的

2012-09-27 18:14 | Vi0lent (
普通白帽子 | Rank:131 漏洞数:14 | hello fuck~)

1

这其实是个励志故事，告诉我们只要坚持，在烂的程序员都可以写到亿级别的项目的.鉴定完毕！

2012-09-27 18:26 | 网络骑士 (
普通白帽子 | Rank:33 漏洞数:3 | 要低调！ 低调才是最NB的炫耀！)

0

还真是36，可能是手快看漏了

2012-09-27 20:25 | zsx (
实习白帽子 | Rank:0 漏洞数:1 | 一个人)

0

我擦。。

2012-09-27 20:44 | xiya (
实习白帽子 | Rank:5 漏洞数:1 | 行者不言..)

0

mark

2012-09-27 22:06 | 冷冷的夜 (核心白帽子
| Rank:130 漏洞数:11 | 想去毕业旅行)

0

撸过

2012-09-28 00:17 | hongygxiang (
普通白帽子 | Rank:92 漏洞数:7 | 蛋疼)

0

撸过

2012-09-28 10:10 | 啤酒 (
普通白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

0

上亿的项目,最简单的最低级的防护都没有.情何以堪.

2012-09-28 16:16 | 搁浅 (
实习白帽子 | Rank:5 漏洞数:1 | 关注互联网安全)

0

撸过

2012-09-29 13:04 | 小A (
实习白帽子 | Rank:5 漏洞数:1 | 您好，我是小A。 低调。。。。。。)

0

@Vi0lent 讲述了一个程序猿是怎样成长为攻城狮的。。。

2012-09-29 16:16 | CHForce (
实习白帽子 | Rank:0 漏洞数:1 | 研究ps脚本和网络安全的单个人。爱好设计 ...)

0

基于牛A 与 牛C 之间

2012-09-30 10:08 | Breaker (
实习白帽子 | Rank:12 漏洞数:1 | .)

0

看不到了...

2012-10-11 09:33 | zzR (
普通白帽子 | Rank:135 漏洞数:20 | Mr.Going To Work)

0

洞主，此洞已火，鉴定完毕