Difference between revisions of "一卡通信息管理系統 SQL注入漏洞"

Latest revision as of 09:56, 5 July 2021

Other languages:

該漏洞已通過驗證

本頁面的EXP/POC/Payload經測試可用，漏洞已經成功復現。

此系統存在默認弱口令，以及前台sql注入。

"Content/images/login/logo.png" && "/Content/js/core/knockout-2.2.1.js"

super

1234

用戶名處存在SQL注入漏洞，使用BurpSuite插件利用（在用戶名處加入*）。

@@ Line 4: / Line 4: @@
 {| style="border: 2.0px solid grey; background: #b3ff9c;" width="85%"
 | align="center" width="60px"| [[File:Check.png|link=|55px]]
-| align="center" |'''<translate>該漏洞已通過驗證</translate>'''
+| align="center" |'''<translate><!--T:1--> 該漏洞已通過驗證</translate>'''
 ------
-<small><translate>本頁面的EXP/POC/Payload經測試可用，漏洞已經成功復現。</translate></small>
+<small><translate><!--T:2--> 本頁面的EXP/POC/Payload經測試可用，漏洞已經成功復現。</translate></small>
 |}
 </center>
 <translate>
-==漏洞信息==
+==漏洞信息== <!--T:3-->
 </translate>
 <translate>
+<!--T:4-->
 此系統存在默認弱口令，以及前台sql注入。
 </translate>
@@ Line 21: / Line 22: @@
 <translate>
-==弱口令==
+==弱口令== <!--T:5-->
 </translate>
 <pre>
@@ Line 30: / Line 31: @@
 <translate>
-==SQL注入==
+==SQL注入== <!--T:6-->
 </translate>
 <translate>
+<!--T:7-->
 用戶名處存在SQL注入漏洞，使用BurpSuite插件利用（在用戶名處加入<code>*</code>）。
 </translate>
 https://github.com/c0ny1/sqlmap4burp-plus-plus/
 <translate>
-==參考==
+==參考== <!--T:8-->
 </translate>
 https://mp.weixin.qq.com/s/zxxOWSYgzY-z8GbBxEP_TQ