大汉政府信息公开多处SQL注入

主要是webservice漏洞,漏洞存在于
1./xxgk/services/WSSync_xxgk?wsdl

该WSSync_xxgk服务的多个方法,多个参数存在严重漏洞,且该漏洞普遍存在。
wsGetWeb
getClientIpAxis
wsGetColumn
wsGetColumnStyle
wsSynchronize
wsSynchronizeWithPath
wsSync
上述方法的多个参数均存在漏洞,随便选取一个方法进行测试

/xxgk/services/WSSync_xxgk?wsdl wsGetColumn方法
用WSockExpert v0.7抓包,并保存为wooyun.txt

0

2./xxgk/services/WSSynchronize?wsdl
WSSynchronize服务的多个方法,多个参数存在严重漏洞,且该漏洞普遍存在,如
wsGetWeb
wsGetColumnStyle
wsSynchronize
wsSynchronizeWithPath
上述方法的多个参数均存在漏洞,这里随便选取一个方法(wsSynchronize)进行测试
用WSockExpert v0.7抓包,并保存为wooyun.txt

1
3./xxgk/services/WSSmsSync?wsdl
WSSmsSync服务的多个方法,多个参数存在严重漏洞,且该漏洞普遍存在,如
isBase64
wsSyncGetInfos
wsSyncGetInfos
setStrAppId
setBase64

上述方法的多个参数均存在漏洞,这里随便选取一个方法(wsSyncGetInfos)进行测试
用WSockExpert v0.7抓包,并保存为wooyun.txt

2
4./xxgk/services/WSSync_searchinfo
该WSSync_searchinfo服务的多个方法,多个参数存在严重漏洞,且该漏洞普遍存在,如
getClientIpAxis
wsTest
wsSyncGetInfos
setBase64
isBase64
setStrAppId
上述方法的多个参数均存在漏洞,这里随便选取一个方法进行测试

首先保存如下内容为wooyun.txt

3
5./xxgk/services/WSYsqgk?wsdl
该WSYsqgk服务的多个方法,多个参数存在严重漏洞,且该漏洞普遍存在,如
wsTest
getClientIpAxis
wsGetYsqgk

上述方法的多个参数均存在漏洞,这里随便选取一个方法进行测试
首先保存如下内容为wooyun.txt

4

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录