高校图书馆管理系统 php 漏洞,江苏汇文Libsys图书馆管理系统几处通用SQL注入漏洞...

最新推荐文章于 2021-12-15 06:55:13 发布
最新推荐文章于 2021-12-15 06:55:13 发布
阅读量471 收藏
点赞数
文章标签: 高校图书馆管理系统 php 漏洞

江苏汇文Libsys图书馆管理系统几处通用SQL注入漏洞涉及几十家高校和其他用户 这种通用

漏洞存在于 Libsys图书馆管理系统 v3.5 目前有几十家高校在使用

http://opac.bgu.edu.cn/opac/item.php?marc_no=0000059842 北京吉利大学

http://lib.math.ac.cn:8080/opac/item.php?marc_no=0000018842 中国科学院数学与系统科学研究院图书馆

http://tsgl.nhic.edu.cn:8080/opac/item.php?marc_no=0000018842 南华工商学院图书馆书

http://202.203.132.134:8080/opac/item.php?marc_no=0000018842 西南林业大学图书馆

....

*****************************************

marc_no 参数存在注入

http___img0.tuicool.com_ZJjiMj.jpg

不同的站点:

http___img1.tuicool.com_UZnAFbU.jpg

再看一个:

http___img2.tuicool.com_au26va.jpg

http://lib.math.ac.cn:8080/asord/asord_cls_browse.php?cls_no=A

cls_no 参数存在注入:

http___img0.tuicool.com_N3iymm.jpg

************************************

http://lib.math.ac.cn:8080/asord/asord_marc_record.php?cata_no=%E9%AB%98%E6%95%992011

cata_no参数存在注入:

http___img1.tuicool.com_Yr2eIr.jpg

剩下的自行检查把,这些参数够了。。。

修复方案:

修复or 升级

甜草莓
关注
SCANV团队预警libsys图书馆系统注入漏洞
爱尖刀科技媒体 - 曲子龙
12-10 902
近日,SCANV团队监测到一个libsys图书馆系统的注入漏洞。该漏洞可使黑客获取到数据库信息,恶意篡改数据,甚至造成“拖库”等危害。SCANV团队预警站长关注此漏洞libsys江苏汇文软件公司推出的一款基于B/S架构的图书馆自动化系统,主要服务于国内各大院校的图书馆,国内42%的“211工程大学”和诸多的“985工程大学”均采用了libsys图书馆管理系统。 SCANV
高校图书馆管理系统 php 漏洞,某通用图书馆管理系统SQL注入_MySQL
weixin_39761422的博客
04-05 394
通用图书馆管理系统SQL注入,主要是某个某页面存在SQL注射。sqlmap.py -u http://219.242.65.10/fsweb/MakeIntert.aspx?ID=123 --is-dbasqlmap identified the following injection points with a total of 0 HTTP(s) requests:---Place: GET...
05-1汇文LIBSYS图书馆管理系统主要技术指标.doc
07-01
05-1汇文LIBSYS图书馆管理系统主要技术指标
巧用汇文文献信息系统Libsys5.5解决几个大数据问题.pdf
07-05
汇文文献信息服务系统Libsys5.5是当前图书馆文献管理系统中的重要工具,它不仅在图书馆外服务管理、文献管理、流通管理等方面发挥着关键作用,而且还针对大数据处理提供了有效的解决方案。以下是关于Libsys5.5在解决...
当前国内外图书馆管理系统的现状.doc
07-03
当前国内外图书馆管理系统的现状 当前,国内外图书馆管理系统的发展已经取得了很大的进步。海外的图书馆管理系统已经开发出比较著名的系统,例如 ExLihris 公司开发的 Aleph500 和澳大利亚公司 DYNIX 开发的 ...
05-1汇文LibsysBS图书馆集群管理系统主要技术指标.doc
07-01
05-1汇文LibsysBS图书馆集群管理系统主要技术指标
高校图书馆管理系统 php 漏洞,Libsys图书管理系统 V5.5 变量覆盖漏洞
weixin_34191685的博客
04-05 803
### 登陆页面```session_start( );if ( isset( $_REQUEST['username'] ) ){$strUser = trim( $_REQUEST['username'] );$strInput = trim( $_REQUEST['passwd'] );$strMsg = "用户名或者密码错误";switch ( $strUser ){case "opac_...
记一次无意间发现某学校图书检索系统的变量覆盖漏洞
qq_50854662的博客
10-01 2494
这是汇文OPAC很早就存在的一个严重漏洞 补充漏洞信息参考来源https://www.seebug.org/vuldb/ssvid-90722 1. 利用存在该漏洞参数的链接,访问存在漏洞文件,并覆盖 session 值 http://*******/opac/openlink_ebk.php?_SESSION[ADMIN_USER]=opac_admin 2.直接访问后台地址 http://********/admin/cfg_basic.php 3.后台可直接修改密码 数据库
c 语言实现汇文, 瞎写
weixin_33766805的博客
10-30 81
2019独角兽企业重金招聘Python工程师标准>>> ...
改造汇文OPAC,使其通过萌校的通用扫码接口登录
fundawang的博客
01-18 1213
汇文OPAC目前仅支持汇文微信平台的扫码登录,而汇文微信平台是java语言开发的,对其改造多有不便。为此,使用两个简单的php脚本模拟出登录的窗口及响应结果。 第一步:对httpd的配置进行rewrite。 汇文的OPAC会访问汇文微信平台的URI来展示二维码和访问登录结果,该URI基于java.action schema。所以应该使用httpd自带的rewrite对其进行拦截,和转码。同时,...
渗透图书馆——金盘馆藏查询系统
qq_41703976的博客
12-27 1215
某次偶然访问某校图书馆 进入馆藏书目查询 发现在页面上方出现报错 但奇怪的是,再次刷新页面或者重新打开页面,这个报错就消失了 好在截了图,根据报错信息,可以断定使用的Oracle数据库 在这个页面尝试了一下1和1’ and ‘1’=1 没什么收获 可能不存在SQL注入吧。。。。 于是输入1,点击“开始检索”按钮,进入二级检索页面 跳转到如下页面 尝试1’ 出现报错信息 本来打算进行联合注入的,发现网站上装了主机卫士,会拦截我...
汇文opac的openlink.php改造
fundawang的博客
01-12 939
汇文文献系统OPAC 5.6引入了新的全文检索引擎,但是在marc详情页面显示的内容中,链接到的其他检索结果仍然指向openlink.php。这个文件会进行大量基于数据库的检索操作,对于数据库来说是非常大的连接消耗。 为此应该将openlink.php进行重构,将其引流到全文检索引擎,而不是传统检索引擎中。 <?php if(isset($_GET['title'])) { ...
最新系统漏洞--UnRAR堆缓冲区溢出漏洞
weixin_48555088的博客
12-15 470
最新系统漏洞2021年12月13日 受影响系统: UnRAR UnRAR 5.6.1.3 UnRAR UnRAR 5.6.1.2 描述: UnRAR是一个可解压rar后缀文件的命令。 UnRAR 5.6.1.2版本和5.6.1.3版本的Unpack::CopyString存在堆缓冲区溢出漏洞。攻击者可利用该漏导致堆缓冲区溢出。 <**> 建议: 厂商补丁: UnRAR 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://github.com/aawc/unrar/
SCANV团队提醒警惕phpMyWind漏洞“三弹连发”
u013102998的专栏
01-15 1014
继1月3日预警的"phpMyWind高危SQL注入漏洞"及1月7日发布的"phpMyWind再爆高危SQL注入漏洞",0day5网站上再次曝光了一个phpMyWind的高危SQL注入漏洞。该漏洞同1月3日预警漏洞一样存在于shoppingcart.php文件里,影响到官方新版本(v4.6.6 Beta)及1月3日我们发布漏洞补丁(shoppingcart.php文件)。由于这三个漏洞官方暂时都没有
[EXP]CVE-2019-9621 Zimbra<8.8.11 GetShell Exploit(配合Cscan可批量)
weixin_30414245的博客
05-06 1035
发现时间 2019年03月18日 威胁目标 采用Zimbra邮件系统的企业 主要风险 远程代码执行 攻击入口 localconfig.xml 配置文件 使用漏洞 CVE-2019-9621 受影响应用 ZimbraCollabora...
高校图书馆座位预约系统设计:融合智能化与个性化服务
本课程设计名为《图书馆座位预约系统》,旨在探讨在信息技术飞速发展的背景下,高校图书馆如何利用新技术来优化座位管理和提升服务质量。课程设计涵盖了软件项目管理的多个关键环节,包括: 1. **项目启动**: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值