【DAY】企管宝已读消息处存在SQL注入

文章预览

免责声明 本公众号所发布的文章及工具只限交流学习，本公众号不承担任何责任！ 如有侵权，请告知我们立即删除。 收不到推送的小伙伴，记得 星标 公众号哦！ 公众号留言功能已开启，欢迎留言！ 前言 上周发现企管宝数据包里有SQL拼接，怀疑有SQL注入，已将情况告知开发商。 漏洞简介 企管宝在登录的情况下 /SystemFrameWorkV3/Ajax/Task/LoadService.aspx?IsMenu=true & TaskName=%E5%8A%A0%E8%BD%BD%E6%B6%88%E6%81%AF%E5%88%97%E8%A1%A8 接口的StrWhere参数存在SQL注入，可获取DBA权限。 FOFA: title="员工/管理层登录" 鹰图：web.title="员工/管理层登录" 影响版本 企管宝一体化管理平台 漏洞原理 由于开发在该参数中直接使用SQL语句的加号拼接可以轻易的进行追加SQL语句进行SQL注入 漏洞复现 企管宝 在登录的情况下 ，访问/SystemFrameWorkV3/MobileV5.Pending.aspx 点击消息-已读，同时抓包 抓到如下 ………………………………