【漏洞复现】成都海翔软件有限公司海翔药业云平台存在sql注入

最新推荐文章于 2024-06-13 12:26:44 发布
最新推荐文章于 2024-06-13 12:26:44 发布
阅读量508 收藏 8
点赞数 7
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: sql 数据库 网络安全 渗透测试 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/134940650
版权

漏洞描述

成都海翔软件有限公司海翔药业云平台存在sql注入,攻击者可利用此漏洞查询数据、获取系统信息,造成数据及其它安全风险。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

漏洞集合

【传送点】上千漏洞复现复现集合 exp poc 持续更新

资产确定

FOFA    title=="登录海翔"

漏洞复现

搜索账套,随便输入值,BP抓包如下
在这里插入图片描述

POST /getylist_login.do HTTP/1.1
Host: 127.0.0.1
Content-Length: 14
A
了解本专栏 订阅专栏 解锁全文 超级会员免费看
丢了少年失了心1
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
海翔云ERP getylist_login 接口SQL注入
weixin_43567873的博客
03-10 40
海翔云ERP getylist_login 接口SQL注入
海翔ERP getylist_login.do SQL注入漏洞
qq_39573664的博客
12-25 474
海翔ERP在getylist_login.do接口的accountname存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
海翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-18 26
海翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
漏洞复现海翔云ERP getylist_login 接口SQL注入漏洞
weixin_52204925的博客
03-07 649
海翔云ERP getylist_login 接口处存在SQL注入漏洞,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终导致服务器失陷。
Goby 漏洞更新 | 海翔云平台 getylist_login.do SQL 注入漏洞
m0_46699477的博客
05-12 175
seaflysoft 云平台一站式整体解决方案提供商,业务涵盖批发、连锁、零售行业ERP解决方案、wms仓储解决方案、电子商务、外勤、移动端(PDA、APP、小程序)解决方案。 系统getylist_login.do存在SQL注入漏洞,攻击者可通过该漏洞获取数据库权限
海翔云平台getylist_login.do接口 SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
12-04 112
海翔云平台的 getylist_login.do 存在 SQL 注入漏洞,攻击者可以通过在请求中注入恶意的 SQL 语句,导致数据库泄露、数据篡改或其他安全风险。建议立即修复此漏洞以防止潜在的攻击。
海翔ERP getylist_login.do接口存在sql注入漏洞
nnn2188185的博客
03-09 97
海翔ERP getylist_login.do接口存在sql注入漏洞 附POC软件
SQL优化(大佬分享的)
Ryan_black的博客
05-09 359
一上来就接触到了一个很庞大的sql数据库,看了好久,还好是给看明白了,其中涉及到十多个表的连接查询,因为里面包含了许多多余的数据,所以需要进行优化操作,除了删除掉多余的查询字段之外,我是没有办法继续优化下去了,然后大佬顺口就给我提了两个思路: 1.如果是有多个表进行联查操作,并且用到的字段非常少的情况下,可以对主表进行添加字段,少连接一个表会大大减少查询时间 2.前端需要展示的数据如果进行分页展示,那么在后端查询数据的时候如果是一口气查询所有再分页,那么不仅速度慢而且变得很不需要,可以先提前取出所需要的分页
BREW平台主要技术的分析与总结
feng_zai的专栏
06-22 1559
2003年,美国高通公司在中国推出了BREW平台,在中国获得了快速的发展和应用。时间虽然不短,但是由于高通公司的种种约束以及BREW平台本身的诸多限制,使得许多开发人员对在BREW平台下进行开发不得要领。本文深入分析了BREW平台的主要技术以及实现机制,包括模块加载机制、事件处理机制、接口机制和回调机制,以期对BREW平台有深入透彻的理解,并对BREW的主要技术进行了总结。 (此文为毕设时写的小论文,谈不上原创,但还是有一定参考价值。)
海翔药业:首次公开发行股票招股说明书.PDF
05-15
海翔药业:首次公开发行股票招股说明书.PDF
海翔药业:2021年半年度报告.rar
09-29
海翔药业:2021年半年度报告.rar
海翔药业:2021年半年度报告.PDF
08-31
海翔药业:2021年半年度报告.PDF
海翔药业:2019年半年度报告.PDF
05-31
海翔药业:2019年半年度报告.PDF
05225 深圳市海翔铭实业有限公司ISO 9000:2000质量意识培训(ppt 80页).ppt
08-20
05225 深圳市海翔铭实业有限公司ISO 9000:2000质量意识培训(ppt 80页).ppt
Flink Sql-用户自定义 Sources & Sinks
bigdatakenan的博客
06-13 802
在许多情况下,开发人员不需要从头开始创建新的连接器,而是希望稍微修改现有的连接器或 hook 到现有的 stack。在其他情况下,开发人员希望创建专门的连接器。本节对这两种用例都有帮助。它解释了表连接器的一般体系结构,从 API 中的纯粹声明到在集群上执行的运行时代码实心箭头展示了在转换过程中对象如何从一个阶段到下一个阶段转换为其他对象。
PostgreSQL 的内置函数
一拳莫敌的博客
06-13 680
PostgreSQL 提供了大量的内置函数,这些函数可以在查询中用于处理数据、进行计算和转换。
JavaSpringboot+vur前后端分离党员信息管理系统(源码+sql+论文)
u014445459的博客
06-11 753
简化系统开发和维护。它做的事情越多,就封装了常见的JavaScript功能和代码,并提供了一个简单的JavaScript设计相关的模式,用于优化HTML文档操作、事件处理、CSS样式化、动画设计和Ajax请求交互。在互联网技术高速发展的今天,通过互联网的传播会让企业更容易的创造更多的经济效益,利用互联网的传播党建信息管理、通过网页党建信息管理平台的实现 ,让更多人了解到党建新闻、组织风采等相关信息、得到了更大的宣传,在这样一个大环境下把资源统筹规化起来,就会获得高效的党建党员信息和推广。
PostgreSQL的视图pg_roles
lee_vincent1的博客
06-10 630
pg_roles是 PostgreSQL 中的一个系统视图,提供了关于数据库角色(用户和组)的信息。PostgreSQL 中的角色用于管理数据库的权限、登录能力以及其他安全相关的特性。通过查询pg_roles视图,数据库管理员可以了解和管理数据库中所有角色的详细信息。pg_roles。
PostgreSQL的扩展(extensions)-常用的扩展-pg_stat_monitor
最新发布
lee_vincent1的博客
06-13 504
是 PostgreSQL 的一个扩展,它提供了一种先进的监控和统计 SQL 查询的方式,相比于标准的,它提供了更丰富和详细的查询统计信息。通过捕获和分析 SQL 查询的执行情况,帮助数据库管理员优化数据库性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值