联想Lenovo某crm的Portal管理界面注入 – 网站安全

时间: 2020-10-10|tag: 42次围观|0 条评论

联想 Lenovo Portal 管理平台登录页面存在注入
联想Lenovo某crm的Portal管理界面注入 – 网站安全插图

admin' and 1=(select @@version)--
联想Lenovo某crm的Portal管理界面注入 – 网站安全插图1

进一步检测发现 tbpwd 和 tbuser 都存在注入,密码框存在注入 保存明文吧?

默认路径c:\inetpub\wwwroot\

默认权限 sa

联想Lenovo某crm的Portal管理界面注入 – 网站安全插图2

baidu下还发现了同样几个

一样的系统一样的注入

http://124.128.235.118/Default.aspx

http://124.128.235.115/Default.aspx

http://59.48.158.30:8081/Default.aspx

联想Lenovo某crm的Portal管理界面注入 – 网站安全插图3

修复方案:

参数过滤,不要保存明文密码
    上一篇: Srun3000计费系统命令执行漏洞 - 网站安全 - 自学

    下一篇: 从优酷网某站目录遍历到下载备份到webshell - 网站
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《联想Lenovo某crm的Portal管理界面注入 – 网站安全
   

还没有人抢沙发呢~