漏洞标题 湖南省旅游局系统漏洞可以通过GetShell和XXE获取（涉及大量内部和企业用户/海南电信内部员工/短信记录/反馈/工作单/上诉工作单/政府热线记录信息） 相关制造商 湖南旅游信息服务中心 漏洞作者 过路人 提交时间 2016-05-08 11: 40 公共时间 2016-06-25 16: 10 漏洞类型 文件上载会导致任意代码执行 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构（cncert National Internet Emergency Center） 标签标签 未检查文件上传内容，文件上传漏洞，任意文件上传 漏洞详细信息 测试地址： 任何文件上传点： 任何文件上传都可以是getshell： 漏洞证明： 数据库配置信息： 连接数据库： 23198学生信息，门票，姓名，学生学校记录： 优秀的员工： 235,081旅行网短信记录： 383574帐户日志记录帐号和密码等信息： 84746三亚1234政府热线短信记录: 反馈： 海南电信员工联系方式，姓名： 1842.1万用户登录帐户信息： 企业应用平台帐号密码： 上诉工作单： 投诉记录： Failure when receiving data from the peer