【漏洞复现】华天动力-OA-workFlowService-sql注入

最新推荐文章于 2024-08-03 19:44:42 发布
最新推荐文章于 2024-08-03 19:44:42 发布
阅读量354 收藏 2
点赞数 3
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135522552
版权
本文介绍了华天动力OA系统workFlowService接口存在的SQL注入漏洞,详细阐述了漏洞概述,通过网络测绘和漏洞复现过程,揭示了攻击者如何利用该漏洞执行非授权数据库操作,威胁系统安全。
摘要由CSDN通过智能技术生成

目录

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x01 产品简介

        华天动力OA是一个以技术领先著称的协同软件产品,拥有领先业界的三大核心技术:协同平台、工作流和智能报表,是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品,也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。

0x02 漏洞概述

        华天动力OA系统中的 workFlowService 接口存在sql注入漏洞。通过恶意构造的输入,攻击者能够成功注入恶意SQL代码,从而执行非授权的数据库查询和操作。这使得攻击者有可能访问、修改或删除敏感信息,危及系统的机密性、完整性和可用性。

0x03 网络测绘

app="华天动力-OA8000" || body="/OAapp/htpages/"
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现华天动力-OA-ntkodownload-文件读取
知黑而守白
01-11 194
华天动力OA是一个以技术领先著称的协同软件产品,拥有领先业界的三大核心技术:协同平台、工作流和智能报表,是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品,也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。华天动力-OA系统中的ntkodownload接口存在文件读取漏洞。攻击者可以通过发送特定的POST请求,利用该漏洞获取系统敏感文件。
历年HW已公开漏洞专集!(目前漏洞库更新至84个,Goby持续更新...)
m0_46699477的博客
07-11 950
历年HW已公开漏洞专集!(目前漏洞库更新至84个,Goby持续更新...)。 截至2024年7月11日,Goby红队版已扩充以下历年HW已公开POC漏洞库,本次更新**84**个
漏洞复现华天动力OA downloadWpsFile.jsp 任意文件读取
今天是几号的博客
07-27 538
华天动力OA downoadWposFile,jsp 接口处存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
漏洞复现华天动力OA TemplateService接口处存在任意文件读取漏洞
https://blog.echo234.cn/
03-30 632
华天软件有限公司(简称“华天动力”)是国内首批专注于独立OA协同软件研发、为政企提供垂直专业、数智化转型解决方案的科技创新型企业。华天动力OA TemplateService 接口处存在任意文件读取漏洞,攻击者可以利用此漏洞获取系统敏感信息。
华天动力oa-TemplateService-任意文件读取漏洞-未公开day漏洞复现
weixin_43167326的博客
01-20 433
华天动力OA系统中的TemplateService接口存在一个任意文件读取漏洞,攻击者可以通过构造恶意请求,利用该漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。攻击者可能通过利用此漏洞获取敏感信息,导致潜在的信息泄漏风险。。
华天动力OA办公系统存在未授权访问漏洞(新)-漏洞挖掘
weixin_43167326的博客
01-20 884
华天动力协同办公系统将先进的管理思想、管理模式和软件技术、网络技术相结合,为用户提供了低成本、高效能的协同办公和管理平台。睿智的管理者通过使用华天动力协同办公平台,在加强规范工作流程、强化团队执行、推动精细管理、促进营业增长等工作中取得了良好的成效。华天动力OA存在未授权访问漏洞,攻击者可以读取用户信息,读取敏感信息等,利用。请自行搭建环境进行漏洞测试,该公众号或作者星球分享的工具、项目、漏洞仅供安全研究与学习之用请勿用于非法行为,如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。
复现】用友u8CRM 文件读取漏洞
fushuang333的博客
12-28 775
复现】用友u8CRM 文件读取漏洞。用友U8CRM 是一款专为代理销售服务行业设计的集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。
漏洞复现华天动力-OA-hrapplicationformservice-信息泄露
知黑而守白
01-11 411
华天动力OA是一个以技术领先著称的协同软件产品,拥有领先业界的三大核心技术:协同平台、工作流和智能报表,是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品,也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。华天动力OA系统中的hrApplicationFormService接口存在一个任意文件读取漏洞,攻击者可以通过构造恶意请求,利用该漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。攻击者可能通过利用此漏洞获取敏感信息,导致潜在的信息泄漏风险。
华天动力-OA8000 MyHttpServlet 文件上传漏洞复现
0xSec
11-29 1647
华天动力OAMyHttpServlet存在任意文件上传漏洞,未经身份认证的攻击者可上传恶意的raq文件并执行raq文件中的任意sql语句,获取用户账号密码等敏感信息。
信呼OA nickName SQL注入漏洞复现(XVE-2024-19304)
最新发布
0xSec
08-03 453
信呼OAnickName 存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
泛微E-Cology SQL注入漏洞复现(QVD-2023-15672)
0xSec
07-11 9514
由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。
泛微e-cology WorkflowServiceXml SQL注入漏洞(POC)
m0_62584974的博客
07-16 952
泛微 e-cology v10.64.1的/services/接口默认对内网暴露,用于服务调用,未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入,攻击者通过漏洞可以获取服务器数据库敏感信息。分析:基于当前情报,漏洞可能被用于攻击e-Cology WorkflowServiceXml系统,建议更新系统补丁、加强输入验证和限制访问权限。更新e-Cology WorkflowServiceXml系统到最新版本。
华天动力OA workFlowService SQL注入获得root权限
失心少年
08-04 720
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!发现mysql为root权限,剩下的就简单了,查目录写文件。fofa:app=“华天动力-OA8000”到这里,oa的路径也就得到了,剩下的自由发挥。该命令可查询到mysql按照路径,2、sqlmap梭哈。
漏洞复现】泛微e-cology9 WorkflowServiceXml SQL注入漏洞
今天是几号的博客
07-15 1752
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。漏洞名称泛微e-cology9 WorkflowServiceXml SQL注入漏洞公开时间2024-07-10威胁类型命令执行。
泛微E-Cology WorkflowServiceXml SQL注入漏洞复现(QVD-2024-26136)
0xSec
07-12 1817
2024年7月,泛微官方发布了新补丁,修复了一处SQL注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞
漏洞复现】E-Cology OA——WorkflowServiceXml——SQL注入
LongL_GuYu的博客
07-20 678
E-Cology OA协同商务系统是一款面向中大型组织的数字化办公产品,它基于全新的设计理念和管理思想,旨在为中大型组织创建一个全新的高效协同办公环境。其WorkflowServiceXml接口存在sql注入,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句,以获取数据库敏感信息、修改数据或者执行其他恶意操作,还有可能直接通过sql注入获取服务器权限。
【1day】华天软件 OAworkFlowService接口SQL注入漏洞学习
记录并分享学习安全的知识点..
12-02 600
华天软件 OA(Office Automation)是华天软件公司开发的一套办公自动化软件解决方案。它旨在帮助企业提高工作效率、优化流程管理,并实现信息化办公;华天软件 OAworkFlowService接口存在接口SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
华天OA漏洞复现手册
1stPeak's Blog
04-21 5472
前言:万户OA产品漏洞复现笔记,供自己使用,不定期更新 声明:本人所有文章均为技术分享,请勿非法用于其他用途,否则后果自负。 漏洞列表: 用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞 万户OA download_ftp.jsp 任意文件下载漏洞 漏洞描述 万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件 漏洞影响 万户OA 网络测绘 app="万户网络-ezOFFICE" 漏洞复现 ...
NC-OA协同软件详细安装指南
"NC-OA协同软件安装" NC-OA协同软件是企业信息化管理中的一个重要工具,它主要用于提高组织内部的工作效率和协作能力。在安装NC-OA协同软件时,需要进行一系列的步骤来确保系统的正常运行。以下是详细的安装和配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值