中国网络渗透测试联盟

标题: 入侵汉王签到机 [打印本页]

作者: admin 时间: 2022-3-31 04:17
标题: 入侵汉王签到机

汉王人脸考勤管理系统 Check SQL注入漏洞

0X001前言

0X002 漏洞影响

0X003 漏洞原理

0X004 漏洞复现

0X041 空间搜索寻找目标

0X041 sql注入

0X001前言

汉王人脸考勤管理系统简化版是是汉王人脸通考勤机的配套软件，根据部分公司行政管理需求，简化系统复杂程度，使最长用的功能简单化，满足客户的日常基本使用需要。

0X002 漏洞影响

汉王人脸考勤管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

0X003 漏洞原理

未过滤参数从而存在sql注入

0X004 漏洞复现

0X041 空间搜索寻找目标

搜索语法：title=""汉王人脸考勤管理系统""

在这里插入图片描述

0X041 sql注入

在登陆入口输入用户名密码并进行抓包。

在这里插入图片描述

strName为注入点。

在这里插入图片描述

使用sqlmap攻击

在这里插入图片描述

欢迎光临中国网络渗透测试联盟 (https://www.cobjon.com/)