当前位置: 首页 > news >正文

全程云OA ajax.ashx SQL注入漏洞复现

0x01 产品简介

全程云OA为企业提供日常办公管理、公文管理、工作请示、汇报、档案、知识体系、预算控制等26个功能,超过100多个子模块。为企业内部提供高效、畅通的信息渠道,同时也能大力推动公司信息系统发展,提高企业的办公自动化程度和综合管理水平,加快企业信息的流通,提高企业市场竞争能力。

0x02 漏洞概述

由于全程云oa办公系统 ajax.ashx页面参数过滤不当,导致存在sql注入漏洞,未授权的攻击者可利用该漏洞获取数据库中的敏感信息。

0x03 复现环境

FOFA:body="images/yipeoplehover.png"

0x04 漏洞复现

PoC

POST /OA/common/mod/ajax.ashx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.29
http://www.lryc.cn/news/274707.html

相关文章:

  • VMware 安装 macOS虚拟机(附工具包)
  • Tomcat与Servlet是什么关系
  • C++11_右值引用
  • C#使用条件语句判断用户登录身份
  • 在VM下使用Composer完成快照方式的软件制作
  • YOLOv5改进 | Neck篇 | 利用Damo-YOLO的RepGFPN改进特征融合层
  • 设计模式——最全梳理,最好理解
  • 外包干了4个月,技术退步明显了...
  • rust 注释文档生成 cargo doc
  • 大语言模型(LLM)框架及微调 (Fine Tuning)
  • 速盾高防ip:专业防御ddos
  • 第5章-第8节-Java面向对象中的内部类
  • 首次引入大模型!Bert-vits2-Extra中文特化版40秒素材复刻巫师3叶奈法
  • 从零学Java - 接口
  • 安全防御之身份鉴别技术
  • axios post YII2无法接收post参数问题解决
  • 性能优化-OpenMP基础教程(三)
  • [足式机器人]Part2 Dr. CAN学习笔记-动态系统建模与分析 Ch02-1+2课程介绍+电路系统建模、基尔霍夫定律
  • VSCode配置C/C++环境
  • ChatGPT绘制全球植被类型分布图、生物量图、土壤概念图、处理遥感数据并绘图、病毒、植物、动物细胞结构图
  • vmware workstation的三种网络模式通俗理解
  • C++程序设计兼谈对象模型(侯捷)笔记
  • selenium实现UI自动化
  • 【DevOps-03】Build阶段-Maven安装配置
  • ​已解决java.lang.ArrayIndexOutOfBoundsException异常的正确解决方法,亲测有效!!!​
  • Pycharm打包程序为exe文件
  • 地理空间分析3——数据可视化与地理空间
  • python开发案例教程-清华大学出版社(张基温)答案(4.3)
  • Qt 5.9.4 转 Qt 6.6.1 遇到的问题总结(一)
  • 探索生成式AI:自动化、问题解决与创新力