声明:
请勿使用本文档提供的相关操作及工具开展任何违法犯罪活动。本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!!
一、漏洞名称
SLMS智能照明控制系统SQL注入漏洞
二、产品介绍
智能照明控制系统是利用先进电磁调压及电子感应技术,改善照明电路中不平衡负荷所带来的额外功耗,提高功率因数,降低灯具和线路的工作温度,达到优化供电目的照明控制系统。
三、漏洞概述
SLMS智能照明控制系统txtUsername参数处存在SQL注入漏洞,未经身份认证的攻击者可以通过该漏洞获取数据库敏感信息。
四、FOFA搜索语法
fid="2C3BnXz4nRk70n6wMhfrkw=="
五、漏洞验证截图
访问界面如下图所示
用户名和密码处任意输入,此处用户名输入1,密码输入123。点击登录,查看登录提示。如下图所示:
点击登录后,系统提示“用户名和密码错误”。如下图所示:
用户名处输入单引号,点击登录,系统无任何动作提示。尝试进行闭合处理,发现当输入如下语句:1’and’1’=’1,密码123保持不变,此时再点击登录,页面又有了系统错误提示回显。如下图所示:
漏洞验证截图:
至此,说明SQL注入漏洞存在。
漏洞POC在下方知识星球内,扫描二维码,即可查看POC内容。
原文始发于微信公众号(NightmareV):SLMS智能照明控制系统SQL注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论