【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞

admin
admin
admin
102620
文章
87
评论
2023年12月15日17:53:36评论29 views字数 579阅读1分55秒阅读模式
师傅们,我又来水文章了,现如今越来越多的东西都被藏在了圈子里面,很多东西都是不能发的,但是不发并不代表没有,最近遇到的一个平台就是这个样子,其实这几个SQL注入漏洞早在2022年年初到暑假期间就已经被打过,甚至被提交过多个SRC平台。
老样子,师傅们如果有用到该平台的漏洞,要记得及时找厂商进行修复以及做好防护策略,这样子就可以预防一下啦。
一.资产
fofa:title="智能终端操作平台"icon_hash="933484322"鹰图:web.body="智能终端操作平台
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
二.POC
1.后台登录默认账户密码:9999/123456
2.多个通用SQL注入
(1) /mobile/Remote/GetParkController 链接下的deviceId=参数
(2)/report/FinanceDetail/GetVoucherDelaySummary链接下的endTime=和startTime=参数
(3)/Report/MonitorsWindow/GetOperatorStatistic链接下的operatorID=参数
(4)/Report/MonitorsWindow/GetEnterAndOutDevice链接下的deviceID=参数
三.复现过程
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞

原文始发于微信公众号(网络安全007):【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月15日17:53:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞http://cn-sec.com/archives/2303877.html

发表评论

匿名网友 填写信息