山东省某机动车管理平台漏洞（涉及12-16年驾驶员全部信息/信息量涉及千万/泄露大量学车人个人以及车辆信息/疑似可更改成绩）

2017年5月1日11:25:26评论501 views字数 271阅读0分54秒阅读模式

摘要

2016-03-09：细节已通知厂商并且等待厂商处理中
2016-03-11：厂商已经确认，细节仅向厂商公开
2016-03-21：细节向核心白帽子及相关领域专家公开
2016-03-31：细节向普通白帽子公开
2016-04-10：细节向实习白帽子公开
2016-04-25：细节向公众公开

漏洞概要关注数(7) 关注此漏洞

缺陷编号： WooYun-2016-182469

漏洞标题：山东省某机动车管理平台漏洞（涉及12-16年驾驶员全部信息/信息量涉及千万/泄露大量学车人个人以及车辆信息/疑似可更改成绩）

漏洞作者：路人甲

提交时间： 2016-03-09 11:40

公开时间： 2016-04-25 16:50

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

**.**.**.**:9080/jdcjsy_rz/jxgl/pxjgloginAction.action 一切都要从这个st2命令执行说起。感觉shell的兼容性一定不能太好了，看了下是db2的数据库。不管是用菜刀还是大马都应该不太好。想了想服务器上肯定有db2 终端

code 区域

<driver-url>jdbc:db2://localhost:50000/jdc_rzx</driver-url>
     <!-- <driver-url>jdbc:db2://LOCALHOST:50000/JDC_RZX</driver-url>--> 
     <driver-class>com.ibm.db2.jcc.DB2Driver</driver-class>
     <driver-properties>
       <property name="user" value="administrator"/>
       <property name="password" value="fxq7929)!!!"/>

没想到是管理员自己的账户

加了个账号。用自带db2终端查看了下数据库，数据量惊人，包括日照淄博多个山东地区的学车人信息以及车辆信息，涵盖12-16年。还包括前天的...

由于db2终端查询默认前100行。我就挑了几个表截取下内容。以此来证明危害。

两会期间，注意安全。服务器账号纯属测试使用...