网康NS-ASG应用安全网关注入漏洞下载
-
来源:黑吧安全网 浏览:1669次 时间:2014-07-27
影响
网康 NS-ASG 6.2
网康 NS-ASG 6.3
测试地址:
https://202.113.WW.CC/vpnweb/index.php?para=index
https://115.24.ZZ.SS/vpnweb/index.php?para=index
https://202.113.WW.YY/vpnweb/index.php?para=index
互联网搜寻,这打码法,莫怪。
上个补丁以后,已经不能注入了。
但是通过抓包,发现登录的包为入下:
POST:
check_username=admin&check_username1=admin&check_passwd=wocaoadmin123&action=login_check&check_VirtualSiteId=1&imgcode=undefined&selvalue=2&BackgroundName=background.gif
check_username1参数:
搞清楚了转义了..
单引号进去会转义
'==>\'
"==>\"
\==>\\
(这里乌云会自己多转...)
然后,单引号双引号被替换为空(吃掉),留下一个转义符,把最后结尾的闭合给注释掉,又如下,遗留一个反斜杠,导致SQL语句出错。
上一篇: 完美时空某接口站sql注射下载
下一篇: 百度浏览器xss致自身可被劫持下载