金和OA jc6 clobfield SQL注入漏洞复现

  • 开发
  • 117

0x01 产品简介

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。

0x02 漏洞概述

金和 OA jc6 /jc6/servlet/clobfield接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

FOFA:

title="金和协同管理平台" || body="js/PasswordCommon.js" || body="js/PasswordNew.js" || body="Jinher Network" || (body="c6/Jhsoft.Web.login" && body="CloseWindowNoAsk") || header="Path=/jc6" || (body="JC6金和协同管理平台" && body="src=\"/jc6/platform/") || body="window.location = \"JHSoft.MobileApp/Default.htm\";" || banner="Path=/jc6"

阅读全部

相关推荐

  2. OA C6/Control/GetSqlData.aspx/.ashx SQL 注入漏洞

    2023-12-19 06:56:03       50 阅读

  3. OA jc6 clobfield SQL注入漏洞

    2023-12-19 06:56:03       118 阅读

  10. 漏洞OA XmlDeal.aspx XXE漏洞

    2023-12-19 06:56:03       36 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2023-12-19 06:56:03       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2023-12-19 06:56:03       100 阅读

  9. 在Django里面运行非项目文件

    2023-12-19 06:56:03       82 阅读

  19. Python语言-面向对象

    2023-12-19 06:56:03       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2023-12-19 06:56:03       85 阅读

热门阅读

  2. 低成本SDR平台的构成与开发

    2023-12-19 06:56:03       69 阅读

  4. Redis 实现全局唯一ID

    2023-12-19 06:56:03       58 阅读

  5. 基于RBAC的k8s集群权限管控案例

    2023-12-19 06:56:03       48 阅读

  9. 【期末复习向】文本理解与数据挖掘-名词解释

    2023-12-19 06:56:03       60 阅读

  12. SGML .HTML 、XML和XHTML的区别?

    2023-12-19 06:56:03       59 阅读

  19. webpack总结

    2023-12-19 06:56:03       63 阅读

  20. Cmake基础(7)

    2023-12-19 06:56:03       46 阅读

  26. 【Leetcode】计算器

    2023-12-19 06:56:03       64 阅读

  30. 数据的输入输出(C++)

    2023-12-19 06:56:03       58 阅读