金和OA C6 jQueryUploadify.ashx SQL注入漏洞复现

已于 2024-08-31 17:09:15 修改
阅读量572 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-08-31 17:09:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/141755227
版权

0x01 产品简介

金和OA协同办公管理系统软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。

0x02 漏洞概述

金和OA C6 jQueryUploadify.ashx 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

FOFA:app="金和网络-金和OA"

0x04 漏洞复现

PoC

POST /C6/JQueryUpload/AjaxFile/jQueryUploadify.ashx HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 6.2) AppleWebKit/532.1 (KHTML, like
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
专栏目录
订阅专栏
OA C6 UploadFileEditor.aspx SQL注入漏洞复现
0xSec
08-16 223
OA C6 UploadFileEditor.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
OA C6 SignUpload.ashx SQL注入漏洞复现
0xSec
09-26 561
OA C6 SignUpload.ashx 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
OA DBModules.aspx SQL注入漏洞
weixin_43167326的博客
08-23 708
OA-C6协同管理平台DBModules.aspx接口处存在SQL注入,攻击者可通过该漏洞进行sql操作。
OA C6 FileDownLoad.aspx 任意文件读取漏洞复现
0xSec
05-09 775
OA C6 FileDownLoad.aspx接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
漏洞复现OA C6 UserList 存在SQL注入漏洞
https://blog.echo234.cn/
03-29 373
OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展。OA C6 UserList存在SQL注入漏洞
OA-C6 ApproveRemindSetExec.aspx XXE漏洞复现(CNVD-2024-40568)
最新发布
iSee857的博客
10-30 686
的六个核心要素:文化 Culture、 沟通Communication 、 协作Collaboration 、创新 Creation、 控制 Control、中心 Center,而构建了结构化的、灵活集成的、动态响应的、面向。Dtd内容是XXE无回显利用方式,将内容外带到其他地方,将内容通过get.php写入file.txt。官方已修复该漏洞,请用户联系厂商修复漏洞:http://www.jinher.com/构造dtd用以读取,dtd里内容构造vps读取。构造完成后vps启动服务用于信息监听。
漏洞复现OA C6 GeneralXmlhttpPage.aspx Sql注入漏洞
alert['Hello World']
09-28 345
OA C6 GeneralXmlhttpPage.aspx 接口存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限
全程云OA ajax.ashx SQL注入漏洞复现
0xSec
01-05 1203
​ 由于全程云oa办公系统ajax.ashx页面参数过滤不当,导致存在sql注入漏洞,未授权的攻击者可利用该漏洞获取数据库中的敏感信息。
OA C6/Control/GetSqlData.aspx/.ashx SQL 注入漏洞复现
0xSec
12-15 1043
OA C6/Control/GetSqlData.aspx/.ashx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现】全程云OA ajax.ashx SQL注入漏洞
alert['Hello World']
06-19 519
全程云OA ajax.ashx 接口存在SQL注入漏洞,攻击者通过SQL注入可以获取服务器数据库敏感信息。全程云OA为企业提供日常办公管理、公文管理、工作请示、汇报、档案、知识体系、预算控制等26个功能,超过100多个子模块。为企业内部提供高效、畅通的信息渠道,同时也能大力推动公司信息系统发展,提高企业的办公自动化程度和综合管理水平,加快企业信息的流通,提高企业市场竞争能力。
漏洞复现OA C6 jQueryUploadify.ashx Sql注入漏洞
alert['Hello World']
10-02 121
OA C6 jQueryUploadify.ashx 接口存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限
oa jQueryUploadify SQL注入
iSee857的博客
09-01 335
oa-c6 jQueryUploadify接口存在SQL注入漏洞,攻击者可以通过此接口执行sql命令,如果用户权限开放高也可执行shell。Fofa:app="和网络-OA"关闭互联网暴露面或接口设置访问权限。
OA SAP_B1Config.aspx存在未授权访问漏洞
3tefanie丶zhou的博客
01-03 666
【有些话可以不说透,自欺欺人,就可以糊涂一世,打打闹闹轻轻松松。】
OA C6 gethomeinfo sql注入漏洞
Keepb1ue的博客
12-25 2239
和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。OA C6 gethomeinfo接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
OA GetAttOut接口存在SQL注入漏洞
nnn2188185的博客
01-12 201
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发和数字化智能办公平台(简称JC6)是一款结合了人工智能技术的数字化办公平台,为企业带来了智能化的办公体验和全面的数字化转型支持。同时符合国家信创认证标准,支持组织数字化转型,实现业务流程的数字化、智能化和协同化,提高企业竞争力。
漏洞复现--OASQL注入
qq_53003652的博客
10-23 569
OA协同办公管理系统C6软件(简称OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。该产品GetTreeDate.aspx存在SQL注入漏洞。sqlmap直接梭哈。
OA GetTreeDate.aspx SQL注入漏洞
xiaokp7的博客
09-22 636
OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展,提供专业oa,oa系统,oa办公系统,办公自动化软件,协同办公管理系统.支持oa办公自动化系统免费在线试用。OA GetTreeDate存在SQL注入漏洞
OA jc6 clobfield接口存在SQL注入漏洞
3tefanie丶zhou的博客
12-19 760
【一个人活着时无论怎样苦口婆心劝说都听不进去的话,等到人不在了,那些话却像印上文件的朱记,抹都抹不去。】
OA GetSqlData.aspx 远程命令执行漏洞
xiaokp7的博客
09-13 835
OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展,提供专业oa,oa系统,oa办公系统,办公自动化软件,协同办公管理系统.支持oa办公自动化系统免费在线试用。OA GetTreeDate存在SQL注入漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值