【漏洞复现】(0day)Supabase-sql注入漏洞到rce复现
2023-11-29 15:15:5 Author: 天擎攻防实验室(查看原文) 阅读量:66 收藏

0x01 阅读须知

SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

0x02 漏洞描述

(一) Supabase

Supabase是一个开源的Firebase替代品,提供了一系列的后端功能,让你可以更快地构建产品。它使用PostgreSQL作为数据库,支持SQL和RESTful API访问。此外,Supabase提供了完整的认证系统,支持邮箱、手机号、第三方服务等多种登录方式。

Supabase还具备自动化的数据迁移工具,使开发人员能够轻松地在不同环境之间进行数据库迁移和管理。它也集成了实时WebSocket连接,使得实时功能与数据库无缝结合。

fofa语法:

title="supabase"

(二) 漏洞复现 

sql注入:

rce:

漏洞poc+漏洞批量扫描脚本发布在知识星球


文章来源: http://mp.weixin.qq.com/s?__biz=MzU2MzQyMjA1NA==&mid=2247484277&idx=2&sn=95aea879ea437fc79f280b50df2e67ac&chksm=fc5b357ccb2cbc6a55736c474ea446da3dd81b41d26fed84e15c70738c66916ff520ff40f6c0&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh