【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞

admin 2023年12月15日17:53:36评论49 views字数 579阅读1分55秒阅读模式
师傅们,我又来水文章了,现如今越来越多的东西都被藏在了圈子里面,很多东西都是不能发的,但是不发并不代表没有,最近遇到的一个平台就是这个样子,其实这几个SQL注入漏洞早在2022年年初到暑假期间就已经被打过,甚至被提交过多个SRC平台。
老样子,师傅们如果有用到该平台的漏洞,要记得及时找厂商进行修复以及做好防护策略,这样子就可以预防一下啦。
一.资产
fofa:title="智能终端操作平台"icon_hash="933484322"鹰图:web.body="智能终端操作平台
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
二.POC
1.后台登录默认账户密码:9999/123456
2.多个通用SQL注入
(1) /mobile/Remote/GetParkController 链接下的deviceId=参数
(2)/report/FinanceDetail/GetVoucherDelaySummary链接下的endTime=和startTime=参数
(3)/Report/MonitorsWindow/GetOperatorStatistic链接下的operatorID=参数
(4)/Report/MonitorsWindow/GetEnterAndOutDevice链接下的deviceID=参数
三.复现过程
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞
【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞

原文始发于微信公众号(网络安全007):【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月15日17:53:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【0day】某智能终端操作平台默认密码+多个通用SQL注入漏洞http://cn-sec.com/archives/2303877.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息