蓝凌OA wechatLoginHelper.do SQL注入漏洞复现

已于 2024-02-27 17:57:15 修改
阅读量1.1k 收藏
点赞数 15
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-02-27 17:55:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/136328627
版权

0x01 产品简介

蓝凌核心产品EKP平台定位为新一代数字化生态OA平台,数字化向纵深发展,正加速构建产业互联网,对企业协作能力提出更高要求,蓝凌新一代生态型OA平台能够支撑办公数字化、管理智能化、应用平台化、组织生态化,赋能大中型组织更高效的内外协作与管理,支撑商业模式创新与转型发展。

0x02 漏洞概述

蓝凌OA wechatLoginHelper.do接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

FOFA:app="Landray-OA系统"

0x04 漏洞复现

PoC

POST /third/wechat/wechatLoginHelper.do HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 15
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
漏洞复现蓝凌OA wechatLoginHelper存在SQL注入漏洞
失心少年
02-29 321
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高技术企业。蓝凌OA存在SQL注入漏洞。SQLMP 也可以直接跑。
漏洞复现蓝凌OA-wechatLoginHelper-sql注入
知黑而守白
02-28 766
蓝凌EIS智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用统一入口、跨屏操作、信息同步知识云服务集成、学习与创应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台。蓝凌EIS智慧协同平台 wechatLoginHelper 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
0day!!用友U8-Cloud UploadFile接口存在任意文件读取漏洞
weixin_43167326的博客
04-02 557
U8 cloud 聚焦成长型、创型企业的云 ERP,基于全的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。该系统存在任何文件读取漏洞
【nday】HVV 蓝凌OA合集
最新发布
伏一
05-28 563
运行工具监听端口 ping dnslog测试 命令执行 (蓝凌OA 默认使用的是 JDK 1.7)验证POC,利用 custom.jsp 文件导致前台的命令执行以及文件上传,发送请求执行命令。获取password后,使用 DES方法 解密,默认密钥为。app="Landray-OA系统"app="Landray-OA系统"app="Landray-OA系统"app="Landray-OA系统"验证POC,出现漏洞的文件为 custom.jsp。app="Landray-OA系统"蓝凌EIS 智慧协同平台。
蓝凌(Landray)OA漏洞常见RCE
qq_53385700的博客
01-12 1万+
蓝凌OA常见RCE的poc
蓝凌OA wechatloginhelper sql注入漏洞
weixin_52204925的博客
02-27 1284
蓝凌智能OA是一款针对中小企业的移动化智能办公产品 ,融合了钉钉数字化能力与蓝凌多年OA产品与服务经验,能全面满足企业日常办公在线、企业文化在线、客户管理在线、人事服务在线、行政务服务在线等需求。 蓝凌OA wechatLoginHelper.do接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞获取服务器敏感信息或权限。导致服务器失陷
1day-蓝凌OA wechatloginhelper sql注入漏洞-未公开漏洞
weixin_43167326的博客
02-28 578
蓝凌智能OA是一款针对中小企业的移动化智能办公产品 ,融合了钉钉数字化能力与蓝凌多年OA产品与服务经验,能全面满足企业日常办公在线、企业文化在线、客户管理在线、人事服务在线、行政务服务在线等需求。蓝凌OA wechatLoginHelper.do接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞获取服务器敏感信息或权限。导致服务器失陷。
蓝凌OA sysUiExtend.do 任意文件上传漏洞
weixin_52204925的博客
01-25 2480
蓝凌OA sysUiExtend.do 任意文件上传漏洞
复现蓝凌OA SQL注入漏洞_61
fushuang333的博客
02-29 1161
复现蓝凌OA SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
蓝凌OA漏洞复现
热门推荐
混子
12-13 2万+
又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA
蓝凌OA custom.jsp 任意文件读取漏洞批量扫描脚本.py
08-28
自己写的批量扫描脚本,很好用,可以借鉴一下
启动蓝凌OA项目的全步骤.md
07-11
公司用的oa项目的启动和初始化步骤。
蓝凌OA系统V15.0管理员手册.zip
07-08
蓝凌OA系统V15.0是一款针对企业日常办公自动化需求设计的高效管理工具,它为企业提供了一整套流程审批、文档管理、协同工作、信息门户等核心功能,旨在提升企业的办公效率,优化业务流程。作为系统管理员或运维人员...
蓝凌OA产品V14系统安装维护手册.chm
07-04
蓝凌OA产品V14系统安装维护手册.chm
蓝凌标准产品V16.0管理员手册-admin.do配置.pdf
05-25
"蓝凌标准产品V16.0管理员手册-admin.do配置" 蓝凌标准产品V16.0管理员手册-admin.do配置是蓝凌标准产品的管理员手册,旨在指导管理员如何正确地配置和管理蓝凌标准产品。本手册涵盖了各个方面的配置,包括数据库...
蓝凌OA wechatLoginHelper_uid sql注入漏洞
qq_39342001的博客
04-03 332
蓝凌智能OA是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品 ,融合了钉钉数字化能力与蓝凌多年OA产品与服务经验,能全面满足企业日常办公在线、企业文化在线、客户管理在线、人事服务在线、行政务服务在线等需求。任何人在使用本文文中的信息时,应自行承担全部责任,并确保其符合所有相关法律和规定。作者不鼓励或支持任何非法或不道德的行为,包括但不限于侵犯版权、侵犯隐私或违反任何其他法律。如果文档中包含任何第三方版权材料,版权归原作者所有,如有侵权,请联系作者进行处理。
蓝凌OA wechatLoginHelper存在SQL注入
qq_36334672的博客
03-07 504
蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高技术企业。蓝凌OA存在SQL注入漏洞
蓝凌OA-syszonepersoninfo-信息泄露_exp-漏洞复现
weixin_43167326的博客
01-20 1032
蓝凌OA是一款全面的企业管理软件,以知识管理为核心,致力于提升组织产能。其特点在于高度自定义、易用性和灵活扩展性。通过自定义功能和流程,蓝凌OA能够满足企业的个性化需求。同时,简单的界面和操作方式使得员工能够快速上手使用。蓝凌OA还注重知识管理,提供知识模板和知识库等功能,方便员工进行知识分享和学习。此外,蓝凌OA还提供丰富的。
【1day】蓝凌OA 系统treexml.tmpl 接口远程命令执行漏洞学习
记录并分享学习安全的知识点..
10-07 3593
蓝凌OA系统是一套企业级办公自动化软件解决方案。蓝凌OA系统提供了一系列功能模块,帮助企业实现高效的办公管理和协同工作。蓝凌OA 系统treexml.tmpl 接口存在远程命令执行漏洞,攻击者通过漏洞可以执行任意命令获取服务器权限。
蓝凌OA SSRF漏洞
11-15
根据您提供的引用内容,我可以为您回答关于蓝凌OA SSRF漏洞的问题。 蓝凌OA是一款企业级办公自动化软件,由于其在设计上存在一些安全漏洞,因此被黑客利用进行攻击。其中,SSRF漏洞蓝凌OA中的一种常见漏洞类型。SSRF漏洞是指攻击者可以通过构造恶意请求,使服务器发起对内部网络中其他服务的请求,从而实现攻击的目的。 具体来说,攻击者可以通过构造恶意请求,使蓝凌OA服务器向攻击者指定的URL地址发起请求,从而获取攻击者想要的信息。攻击者可以利用这个漏洞获取服务器内部的敏感信息,或者进一步利用该漏洞进行攻击。 为了防止蓝凌OA SSRF漏洞的攻击,建议管理员及时更蓝凌OA的补丁,并对蓝凌OA进行安全加固。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值