广道审计系统SQL注入漏洞可致敏感信息泄露 - 网

广道审计系统 公司为：深圳市高新技术有限公司

广道审计系统 公司为：深圳市高新技术有限公司 有较多酒店系统采用。  

该硬件审计系统某页面由于未做过滤，导致存在N个SQL注入 漏洞 其中参数为：Idcard ，mobile ，password ，room  

上面4个SQL注入漏洞，我选取其中一个注入做为例子 POST /pass.php HTTP/1.1 Content-Length: 188 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Referer: http://192.168.100.235:1234/index.php Cookie: PHPSESSID=2d93e8aa3df024e3942c0ff3a11fbad7 Host: 192.168.100.235:1234 Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.63 Safari/537.36 button=1&guest_name=ucvbadlr&idcard=1&mobile=**&password=&type=4

 

 

root密码解密为： root123  

 

 

看看这些开房的  

看看你上过的哪些网页  

下载 记录  

是所有监控上网记录。  

 

还有大量邮箱。。。  

看看你在酒店下载过什么片？（快播） 看看你提交了哪些post请求。。。。  

 

 

漏洞证明：

 

 

查看更多关于广道审计系统SQL注入漏洞可致敏感信息泄露 - 网的详细内容...