中国网络渗透测试联盟

标题: 入侵汉王签到机 [打印本页]

作者: admin    时间: 2022-3-31 04:17
标题: 入侵汉王签到机

汉王人脸考勤管理系统 Check SQL注入漏洞

0X001前言

0X002 漏洞影响

0X003 漏洞原理

0X004 漏洞复现

0X041 空间搜索寻找目标

0X041 sql注入 

0X001前言

汉王人脸考勤管理系统简化版是是汉王人脸通考勤机的配套软件,根据部分公司行政管理需求,简化系统复杂程度,使最长用的功能简单化,满足客户的日常基本使用需要。

 

0X002 漏洞影响

汉王人脸考勤管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

 

0X003 漏洞原理

未过滤参数从而存在sql注入

 

0X004 漏洞复现

0X041 空间搜索寻找目标

搜索语法:title=""汉王人脸考勤管理系统""

1

 在这里插入图片描述

 

0X041 sql注入

在登陆入口输入用户名密码并进行抓包。

 在这里插入图片描述

strName为注入点。

 在这里插入图片描述

使用sqlmap攻击

 在这里插入图片描述







欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2