Mtab书签导航程序 LinkStore/getIcon SQL注入漏洞复现

0xSecl

已于 2024-08-08 23:25:02 修改

阅读量552

点赞数 7

分类专栏：漏洞复现文章标签：安全 web安全

于 2024-08-08 23:24:52 首次发布

本文链接：https://blog.csdn.net/qq_41904294/article/details/141038788

版权

漏洞复现专栏收录该内容

864 篇文章 1426 订阅 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

0x01 产品简介

Mtab书签导航程序 - 免费无广告的浏览器书签助手，多端同步、美观易用的在线导航和书签工具，自主研发免费使用，帮助您高效管理网页和应用，提升在线体验。

0x02 漏洞概述

Mtab书签导航程序 LinkStore/getIcon 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

0x03 复现环境

FOFA：title="Mtab书签"

0x04 漏洞复现

PoC

POST /LinkStore/getIcon HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Content-Type: application/json
Connection: Keep-alive

{"

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

0xSecl

关注关注

7
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

Mtab书签导航程序 getIcon接口SQL注入漏洞复现 [附POC]

薛定谔嘚喵博客

08-09

Mtab书签导航程序-免费无广告的浏览器书签助手，多端同步、美观易用的在线导航和书签工具，自主研发免费使用,帮助您高效管理网页和应用，提升在线体验。Mtab书签导航程序 getlcon接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息。

HW漏洞威胁情报第十七天|HW情报

weixin_43167326的博客

08-12

775

技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

参与评论您还未登录，请先登录后发表或查看评论

[ 高危 ]mt某站SQL注入

Js_123456789的博客

01-12

192

RANK 24 金币 24 等价RMB 240 与上一漏洞同源所以只有24 数据包: GET /check?clientId=64915 HTTP/1.1 Host: xxx.meituan.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, ...

如何搭建并拥有一个属于自己的集导航与在线工具为一体的浏览器书签程序（附详细搭建教程）

qq_41109621的博客

10-08

403

Mtab书签的界面设计美观简洁，操作简单直观，让你可以专注于你的网络活动，而不是应用本身。它是你高效、无忧的网络生活的理想伴侣。

如何使用数据集的书签

03-16

如何使用数据集的书签 AnsiString StrName=this->Table1->FieldValues["Name"]; if(StrName=="Brazil") { AnsiString StrInfo="Brazil's Capital is "; StrInfo+=this->Table1->FieldValues["Capital"]; MessageBox(NULL,StrInfo.c_str(),"信息提示",MB_OK); this->MyBookmark=this->Table1->GetBookmark(); this->Table1->Last(); } this->Table1->Next();

如何搭建一个集成导航与在线工具的个性化浏览器私有书签（附详细搭建教程）

高性价比服务器就选：蓝易云

10-09

331

它将基础导航、记事本、在线小工具和多端同步集于一身，为用户提供了更便利的网络浏览体验，并解决了多端同步的烦恼。在宝塔面板的网站菜单中添加网站，并将Nginx的网站根目录设置为Mtab书签程序的根目录。安装完成后，你可以登录到Mtab书签的后台管理界面，使用之前设置的管理员账号进行登录。推荐使用宝塔面板进行安装。

网络书签工具Mtab书签私有部署代码

10-08

Mtab书签是一款集基础导航、记事本、在线小工具和多端同步于一身的顶级应用。它不仅可以简化你的网络浏览体验，还能提供更多功能，解决你的多端同步之忧。跨设备同步：不再为了在不同设备上找不到书签或笔记而苦恼...

开源书签管理程序Mtab网站源码，附带视频搭建教程

01-25

开源书签管理程序Mtab是一款基于Web的书签管理应用，专为个人和团队提供高效、便捷的在线书签存储和共享服务。它的主要特点包括开源、可自托管、易于定制，以及支持多种设备访问。Mtab源码的开放使得用户可以根据...

Linux中的/etc/fstab、/etc/mtab、/proc/mounts文件区别

2puT

03-30

2095

Linux中的/etc/fstab和/etc/mtab文件区别 /etc/fstab文件：/etc/fstab文件记录静态文件系统信息该文件记录计算机硬盘分区相关信息，启动Linux、mount挂载分区等命令执行都，都会用到fstab信息，看页面示例也是带有： #fstab文件内容格式： <file system> <mount point> ...

MTab-crx插件

04-04

语言:English 只是另一个rewtab扩展名 phoenix nemo... 有麻省理工学院许可的开源扩展，具有代码，在https://github.com/phoenixlzx/mtab上提供需要网络UI开发，PRS欢迎！

浏览器书签助手mTab

wbsu2004的博客

07-12

6362

mTab 是免费无广告的组件式浏览器主页。

有关网络服务和在线书签

daocrens的专栏

01-19

994

http://del.icio.us 就是 delicious 美味佳肴http://www.furl.net 共享链接是个非常美妙的想法今天把收藏夹加到delicious上了，感觉还不错其实国内的365key也是一个在线收藏的好地方不过因为delicious和gmail都使用tag来进行分类,这个也是一个流行的方式很符合需要，365key 在这里就要逊色一些了,只支持分类，不支持tag标识希望

MX书签导航网—开源免费的书签页源码标签页导航网

轻刻年轮

06-27

241

无论何地，始终随心所浏览。在这里插入图片描述开源网址：https://github.com/tsxcw/mtab。在这里插入图片描述在这里插入图片描述在这里插入图片描述#书签导航网#MX书签导航网#弥夏导航网。如果你也想搭建付费版让你在限时优惠的基础上再砍30元直接去。官网输入优惠吗：ly522。支付的时候会优惠30元，（优惠会在支付订单显示）

零信任安全：重新思考数字世界的访问

网络研究观

09-09

775

零信任安全在当前数字时代的关键重要性和有效性，将其作为增强网络安全弹性的基本战略。‍

快速失败 (fail-fast) 和安全失败 (fail-safe)

Flying_Fish_roe的博客

09-07

947

快速失败是一种系统设计原则，当系统遇到异常情况或错误时，立即停止执行并返回错误，而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题，并尽早报告错误，以防止错误进一步传播或导致更大的问题。在快速失败系统中，当检测到某些异常条件或不一致时，系统立即抛出异常或错误，停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积，使得系统可以快速恢复到正常状态，并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误，开发者能够更容易地定位问题，减少问题在系统中的蔓延。

浅谈网络安全的认识与学习规划

qq_201729558

09-05

1161

本文主要介绍网络安全认识与学习规划

【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细