大华智慧园区综合管理平台searchJson接口 SQL注入漏洞复现 [附POC]

最新推荐文章于 2024-07-11 18:55:16 发布
最新推荐文章于 2024-07-11 18:55:16 发布
阅读量384 收藏
点赞数 10
分类专栏: 漏洞复现 文章标签: sql 数据库 安全 网络安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/134877554
版权

文章目录

大华智慧园区综合管理平台searchJson接口 SQL注入漏洞复现 [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。由于该平台searchJson接口未对用户输入数据做限制,攻击者可以直接将恶意代码拼接进SQL查询语句中,导致系统出现SQL注入漏洞。

0x03 影响版本

大华智慧园区综合管理平台

0x04 漏洞环境

FOFA语法:app=“dahua-智慧园区综合管理平台”
在这里插入图片描述

0x05 漏洞复现

1.访问漏洞环境

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
  • 10
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
大华智慧园区综合管理平台searchJson SQL注入漏洞
xiaokp7的博客
09-07 346
大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。大华智慧园区综合管理平台未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
【1day】复现大华智慧园区综合管理平台存在任意密码读取漏洞
记录并分享学习安全的知识点..
08-16 486
大华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。大华智慧园区综合管理平台存在任意密码读取漏洞,远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
复现大华 DSS 数字监控系统 SQL 注入漏洞_18
fushuang333的博客
01-14 1560
复现大华 DSS 数字监控系统 SQL 注入漏洞大华DSS是大华的大型监控管理应用平台,支持几乎所有涉及监控等方面的操作,支持多级跨平台联网等操作。
大华智慧园区综合管理平台pageJson接口SQL注入漏洞
weixin_43567873的博客
03-28 34
大华智慧园区综合管理平台pageJson接口SQL注入漏洞
大华智慧园区综合管理平台SQL注入漏洞复现
0xSec
08-10 2347
大华智慧园区综合管理平台未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
【1day】复现大华智慧园区综合管理平台SQL注入漏洞
记录并分享学习安全的知识点..
08-12 911
大华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。大华智慧园区综合管理平台SQL注入漏洞,远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
大华智慧园区综合管理平台SQL注入漏洞复现(0day)
08-11 1385
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
漏洞复现大华智慧园区综合管理平台SQL注入漏洞
晚风不及你
02-21 742
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。该平台旨在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集
02-27
大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集
瑞友天翼2024SQL注入漏洞poc
02-27
标题中的“瑞友天翼2024SQL注入漏洞poc”指的是瑞友天翼2024版本存在SQL注入漏洞,而POC(Proof of Concept)是指概念验证,通常是一个简单的程序或脚本,用于证明某个安全漏洞确实存在。在网络安全领域,POC是黑客...
F4搜索帮助和按条件写sql
m0_60109224的博客
07-08 249
2.按条件读取刚刚写的sql数据,if sy-subrc 中可以继续读。3.搜索帮助用函数和sql实现。4.根据屏幕输入数据筛选实现。
【java17】java17新特性之switch表达式
morris
07-11 915
switch表达式也可以返回一个值,比如上面的例子我们可以让switch返回一个字符串来表示我们要打印的文本。如果你想在case里想做不止一件事,比如在返回之前先进行一些计算或者打印操作,可以通过大括号来作为case块,最后的返回值使用关键字yield进行返回。Java17版本中switch表达式将允许switch有返回值,并且可以直接作为结果赋值给一个变量,等等一系列的变化。下面有一个switch例子,依赖于给定的枚举值,执行case操作,故意省略break。,并且switch表达式不需要break。
SQL面试题-留存率计算
xiao4816的博客
07-07 303
计算的是整段时间范围内,每一天为基准的所有的留存1、2、7天的用户数。计算的是用户首次登陆时间为基准时间,计算该基准时间之后的n日留存率。方法一的优势是可以一次性计算出,每天的不同时间范围的留存率。缺点:如果要计算n天留存需要增加代码量。但是不是很直观,并且计算量比较大。优点:代码直观好理解。
sqlmap使用之-post注入、head注入(ua、cookie、referer)
最新发布
weixin_51520483的博客
07-11 109
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
数据如何查询
qq_46863837的博客
07-08 1192
只有学会DQL,才是真正的进入数据库的世界
编写一个能够验证dvwasql注入漏洞poc
07-13
我可以帮你提供一个简单的示例代码来验证 DVWA(Damn Vulnerable Web Application)中的 SQL 注入漏洞。请注意,这个示例仅用于教育目的,不要在未经授权的情况下使用它。 ``` import requests def check_sql_injection_vulnerability(url): payload = "' OR '1'='1' -- " response = requests.get(url + "?id=" + payload) if "Error" in response.text: print("该网站存在 SQL 注入漏洞!") else: print("该网站不存在 SQL 注入漏洞。") # 在这里替换为你的 DVWA 网站的 URL dvwa_url = "http://example.com/dvwa/vulnerabilities/sqli/" check_sql_injection_vulnerability(dvwa_url) ``` 请确保替换 `dvwa_url` 变量为你自己的 DVWA 网站的 URL,然后运行代码。如果输出显示该网站存在 SQL 注入漏洞,则说明你的 DVWA 配置存在问题,需要进行修复。 请记住,这只是一个简单的示例,实际的 SQL 注入漏洞检测可能需要更复杂的测试方法和技术。在进行任何安全测试之前,请确保遵守法律和道德准则,并获得适当的授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值