这其实是个励志故事，告诉我们只要坚持，再烂的程序员都可以写到亿级别的项目的

漏洞概要关注数(67) 关注此漏洞

缺陷编号： WooYun-2012-12758

漏洞标题： 12306漏洞一包裹

相关厂商： 中国铁道科学研究院

漏洞作者： qiaoy

提交时间： 2012-09-27

漏洞类型： SQL注射漏洞

危害等级： 高

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org

Tags标签： 无

0人收藏  收藏

分享漏洞：

100

---

漏洞详情

披露状态：

2012-09-27： 细节已通知厂商并且等待厂商处理中
2012-09-27： 厂商已经确认，细节仅向厂商公开
2012-10-07： 细节向核心白帽子及相关领域专家公开
2012-10-17： 细节向普通白帽子公开

简要描述：

XSS、绝对路径泄漏、SQL注入（分站有个注入，好几亿的项目，没敢跑库,跑坏了赔不起.......）

漏洞hash：83abf3b6f6e210385ab59b789f72efe3

版权声明：转载请注明来源 qiaoy@乌云

---

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2012-09-27

厂商回复：

已确认。修补中。谢谢！

最新状态：

暂无

---

评论

1. 2012-09-27 10:46 |  猥琐 ( 实习白帽子 | Rank:6 漏洞数:2 | 学习什么的最重要！)

   0

   一包裹！！！
2. 2012-09-27 10:51 |  Nimda ( 实习白帽子 | Rank:10 漏洞数:1 | <br> <br> <br>)

   0

   擦！ 擦擦擦
3. 2012-09-27 10:56 |  笑傲浆糊 ( 实习白帽子 | Rank:12 漏洞数:1 | 没死，还活在)

   0

   一包裹！！！求快递
4. 2012-09-27 11:50 |  蟋蟀哥哥 ( 普通白帽子 | Rank:329 漏洞数:52 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

   0

   名字太淫荡了。。你还跑库。。。你能跑动么????网站一会就打不开 一会打不开
5. 2012-09-27 12:14 |  使命召唤 ( 实习白帽子 | Rank:13 漏洞数:4 | 菜鸟一个)

   0

   @蟋蟀哥哥 没个20M光纤还真不敢
6. 2012-09-27 12:32 |  zeracker ( 普通白帽子 | Rank:891 漏洞数:117 | 前面的帅锅，你的腰子掉了。)

   0

   — —。
7. 2012-09-27 12:55 |  无敌L.t.H ( 实习白帽子 | Rank:5 漏洞数:2 | Learning to hacking.)

   0

   先露源IP出来给大家爽爽
8. 2012-09-27 13:00 |  pangshenjie ( 实习白帽子 | Rank:19 漏洞数:5 )

   0

   围观、、、
9. 2012-09-27 14:06 |  蚂蚁牙黑 ( 实习白帽子 | Rank:17 漏洞数:2 | 111)

   0

   先得去买几斤硬盘啊
10. 2012-09-27 14:50 |  四先生 ( 实习白帽子 | Rank:10 漏洞数:1 | 你的热爱能走多远？我的热爱飞的过沧海！)

    0

    一包裹！！！求快递 记得走圆通
11. 2012-09-27 15:33 |  xiaoshi ( 实习白帽子 | Rank:7 漏洞数:2 | 俺是来打酱油的)

    0

    老板，来一斤！
12. 2012-09-27 15:35 |  丁小乐 ( 实习白帽子 | Rank:0 漏洞数:1 | 新手上路)

    0

    http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G 这个页面，自重输入1'
13. 2012-09-27 15:45 |  Breaker ( 实习白帽子 | Rank:12 漏洞数:1 | .)

    0

    ...这么NB
14. 2012-09-27 15:53 |  小威 ( 普通白帽子 | Rank:47 漏洞数:9 | 一沙一世界 一树一菩提)

    0

    就这站的速度 裤子还真脱不下来 这属于防脱裤新技术
15. 2012-09-27 16:03 |  hongygxiang ( 普通白帽子 | Rank:92 漏洞数:7 | 蛋疼)

    0

    有必要先了解下数据库机器有没有帖符；
16. 2012-09-27 16:18 |  三叶草 ( 实习白帽子 | Rank:14 漏洞数:5 | 幸福是靠自己努力的)

    0

    貌似火了...http://zone.wooyun.org/content/1156
17. 2012-09-27 16:32 |  super480 ( 实习白帽子 | Rank:22 漏洞数:2 )

    0

    货到付款吗
18. 2012-09-27 16:44 |  Viigoss ( 实习白帽子 | Rank:6 漏洞数:1 | viigoss)

    0

    中国铁道科学研究院 他网站服务器上库里没多少有用的。难道你内网渗透了？
19. 2012-09-27 16:55 |  horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

    0

    洞主继红孩子之后，又在刚好的时刻刚好的火了...
20. 2012-09-27 17:10 |  网络骑士 ( 普通白帽子 | Rank:33 漏洞数:3 | 要低调！ 低调才是最NB的炫耀！)

    0

    测试到100+个字段还没出现正常页面…… 我唯一好奇的是 这表泥玛有多少字段
21. 2012-09-27 17:11 |  asmc ( 普通白帽子 | Rank:40 漏洞数:9 | 爱好和平,爱好友谊 忠诚爱情,孝廉一世)

    0

    36
22. 2012-09-27 17:41 |  Joey Yin ( 普通白帽子 | Rank:60 漏洞数:5 )

    0

    找到注入点了，试了试不敢继续了，怕被敲门。尼玛几个亿的项目，到时候都不知道怎么死的
23. 2012-09-27 18:14 |  Vi0lent ( 普通白帽子 | Rank:131 漏洞数:14 | hello fuck~)

    1

    这其实是个励志故事，告诉我们只要坚持，在烂的程序员都可以写到亿级别的项目的.鉴定完毕！
24. 2012-09-27 18:26 |  网络骑士 ( 普通白帽子 | Rank:33 漏洞数:3 | 要低调！ 低调才是最NB的炫耀！)

    0

    还真是36，可能是手快看漏了
25. 2012-09-27 20:25 |  zsx ( 实习白帽子 | Rank:0 漏洞数:1 | 一个人)

    0

    我擦。。
26. 2012-09-27 20:44 |  xiya ( 实习白帽子 | Rank:5 漏洞数:1 | 行者不言..)

    0

    mark
27. 2012-09-27 22:06 |  冷冷的夜 (核心白帽子 | Rank:130 漏洞数:11 | 想去毕业旅行)

    0

    撸过
28. 2012-09-28 00:17 |  hongygxiang ( 普通白帽子 | Rank:92 漏洞数:7 | 蛋疼)

    0

    撸过
29. 2012-09-28 10:10 |  啤酒 ( 普通白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    0

    上亿的项目,最简单的最低级的防护都没有.情何以堪.
30. 2012-09-28 16:16 |  搁浅 ( 实习白帽子 | Rank:5 漏洞数:1 | 关注互联网安全)

    0

    撸过
31. 2012-09-29 13:04 |  小A ( 实习白帽子 | Rank:5 漏洞数:1 | 您好，我是小A。 低调。。。。。。)

    0

    @Vi0lent 讲述了一个程序猿是怎样成长为攻城狮的。。。
32. 2012-09-29 16:16 |  CHForce ( 实习白帽子 | Rank:0 漏洞数:1 | 研究ps脚本和网络安全的单个人。爱好设计 ...)

    0

    基于牛A 与 牛C 之间
33. 2012-09-30 10:08 |  Breaker ( 实习白帽子 | Rank:12 漏洞数:1 | .)

    0

    看不到了...
34. 2012-10-11 09:33 |  zzR ( 普通白帽子 | Rank:135 漏洞数:20 | Mr.Going To Work)

    0

    洞主，此洞已火，鉴定完毕