【漏洞复现】金和OA C6 IncentivePlanFulfill.aspx Sql注入漏洞

于 2024-10-06 03:18:40 发布
阅读量69 收藏
点赞数 3
分类专栏: 漏洞复现 文章标签: sql 网络 安全 web渗透 渗透测试 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41924764/article/details/142427129
版权

免责声明:

        本文旨在提供有关特定漏洞的信息,以帮助用户了解潜在风险。发布此信息旨在促进网络安全意识和技术进步,并非出于恶意。读者应理解,利用本文提到的漏洞或进行相关测试可能违反法律或服务协议。未经授权访问系统、网络或应用程序可能导致法律责任或严重后果。作者对读者基于本文内容的行为不承担责任。读者在使用信息时必须遵守适用法律法规和服务协议,独自承担所有风险和责任。如有侵权,请联系删除。

产品简介

        金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展

漏洞描述

        金和OA C6 IncentivePlanFulfill.aspx 接口存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限

网络空间测绘

Fofa


                

                
                
        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  凝聚力安全团队
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          

                

                        订阅专栏
                









                



	

		

			

				
					
漏洞复现OA IncentivePlanFulfill.aspx SQL注入漏洞

				
			

			

				

					qq_67810151的博客
				

				

					03-22
					
					496
					
				

			

		

		

			
				
OA协同办公管理系统C6软件 IncentivePlanFulfill.aspx 接口存在SQL注入漏洞,攻击者可以通过该漏洞执行任意sql语句。

			
		

	



                

              
                



	

		

			

				
					
OA C6 IncentivePlanFulfill.aspx SQL注入漏洞复现

				
			

			

				

					0xSec
				

				

					03-22
					
					460
					
				

			

		

		

			
				
OAC6 IncentivePlanFulfill.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

			
		

	



                


  
              

                


	

		

			

				
					
漏洞复现OA C6 DBModules.aspx SQL注入漏洞

				
			

			

				

					qq_39894062的博客
				

				

					08-24
					
					428
					
				

			

		

		

			
				
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!

			
		

	





	

		

			

				
					
漏洞复现OA C6 UploadFileEditor.aspx SQL注入漏洞

				
			

			

				

					qq_39894062的博客
				

				

					08-30
					
					430
					
				

			

		

		

			
				
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!

			
		

	



		

			
		



	

		

			

				
					
OA C6 DBModules.aspx SQL注入漏洞复现

				
			

			

				

					0xSec
				

				

					08-23
					
					505
					
				

			

		

		

			
				
OA C6 DBModules.aspx 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

			
		

	





	

		

			

				
					
OA C6 RssModulesHttp.aspx SQL注入漏洞复现

				
			

			

				

					0xSec
				

				

					02-07
					
					471
					
				

			

		

		

			
				
OAC6 RssModulesHttp.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

			
		

	





	

		

			

				
					
OA C6 MailTemplates.aspx sql注入漏洞

				
			

			

				

					Keepb1ue的博客
				

				

					01-05
					
					1866
					
				

			

		

		

			
				
网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。OA C6 MailTemplates.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。资产测绘。

			
		

	





	

		

			

				
					
OA C6 MailTemplates.aspx SQL注入漏洞复现

				
			

			

				

					0xSec
				

				

					01-06
					
					793
					
				

			

		

		

			
				
OA C6 MailTemplates.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

			
		

	





	

		

			

				
					
OA C6 CarCardInfo.aspx SQL注入漏洞

				
			

			

				

					3tefanie丶zhou的博客
				

				

					01-09
					
					695
					
				

			

		

		

			
				
【情不知所起,一往而深,可惜大多由深转浅,相忘江湖。】

			
		

	





	

		

			

				
					
OA C6 UploadFileEditor.aspx SQL注入漏洞复现

				
			

			

				

					0xSec
				

				

					08-16
					
					192
					
				

			

		

		

			
				
OA C6 UploadFileEditor.aspx接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

			
		

	





	

		

			

				
					
毕业设计_基于springboot+layui+mybatisPlus的中小型仓库物流管理系统源码+SQL+教程+可运行】41004

				
			

			

				

					pingguocu3的博客
				

				

					10-04
					
					786
					
				

			

		

		

			
				
毕业设计--课程设计--springboot--java
登录管理员账号:system  密码:123456 验证码输入:注意验证码字母要大写。启动项目后运行http://locahost:8080跳转到登录界面即可。后端:springboot、mybatis-plus、shiro。application.yml文件中的数据库连接信息。运行sql目录下的warehouse.sql文件。1.基础管理:商品管理、客户管理、供应商管理;2.物流管理:进货管理、发货管理、交付管理...

			
		

	





	

		

			

				
					
PostgreSQL的表碎片

				
			

			

				

					文牧之的博客
				

				

					09-29
					
					545
					
				

			

		

		

			
				
表碎片化是指表数据在文件系统中的不连续存储,导致读取和写入操作的效率降低。频繁的插入和删除:导致数据块中出现“空洞”。更新操作:由于 PostgreSQL 的 MVCC(多版本并发控制)机制,更新操作会生成新的行版本,原来的空间会被标记为可重用但是不立即回收。

			
		

	





	

		

			

				
					
掌握嵌套子查询:复杂 SQL 中 * 列的准确表列关系

				
			

			

				

					学习之余随便记记
				

				

					10-05
					
					382
					
				

			

		

		

			
				
本文重点讨论在具有 * 列的嵌套子查询中建立表和列之间正确关系的挑战。使用 Teradata SQL 代码示例来说明该过程。本文聚焦于一个别名为 SUBSCRIBER_ 的子查询及其派生的列,这些列在外层查询中被使用。有些列在子查询的选择列表中被明确列出,而其他一些列则来自一个列(SUBSCR.),这个*列引用了 PRD2_ODW.SUBSCRIBER_ 表。接着,分析检查了外层查询的选择列表,特别是来自 SUBSCRIBER_ 子查询的列。

			
		

	





	

		

			

				
					
PostgreSQL 字段使用pglz压缩测试

				
			

			

				

					文牧之的博客
				

				

					09-30
					
					552
					
				

			

		

		

			
				
创建测试表1,并插入1000w行数据–创建测试表2,使用 pglz压缩字段,并插入1000w行数据对比表yewu1.test1和yewu1.test2的大小,没体现出压缩了。

			
		

	





	

		

			

				
					
Leecode SQL 184. Department Highest Salary 找出tie

				
			

			

				

					-
				

				

					10-02
					
					340
					
				

			

		

		

			
				
要找出 tie 的 highest salary!

			
		

	





	

		

			

				
					
Alembic使用 (SqlAlchemy)

				
			

			

				

					JacinLee的博客
				

				

					09-30
					
					1070
					
				

			

		

		

			
				
Fastapi 使用ORM 使用的是SqlAlchemy,这里使用alembic进行数据库文件迁移与数据库迁移。

			
		

	





	

		

			

				
					
【达梦数据库】尽可能 disql 的使用效果与异构数据库一致

				
			

			

				

					qq_33965675的博客
				

				

					09-29
					
					317
					
				

			

		

		

			
				
让达梦的disql  使用起来更跟手,与其他优质数据库的命令行工具通过配置参数的方式尽可能一致,提高使用体验,长期整理中~~~测试版本:2024Q2季度版。

			
		

	





	

		

			

				
					
【PostgreSQL】入门篇——如何创建、删除和管理数据库及其用户,包括权限设置和角色管理

				
			

			

				

					thinking_chou的专栏
				

				

					09-28
					
					694
					
				

			

		

		

			
				
通过上述步骤,您可以在 PostgreSQL 中创建、删除和管理数据库及其用户,设置权限和角色。了解常见问题及其解决方法将帮助您更有效地管理 PostgreSQL 数据库。如果您在使用过程中遇到其他问题,建议查阅 PostgreSQL 官方文档或相关社区以获取更多支持。

			
		

	





	

		

			

				
					
sql乐观锁的实现方式

					
最新发布

				
			

			

				

					hs_1024的博客
				

				

					10-05
					
					270
					
				

			

		

		

			
				
在数据库管理中,乐观锁(Optimistic Locking)是一种用于处理并发更新的机制。它假设在大多数情况下,并发更新的冲突不会频繁发生,因此在更新数据时不会立即锁定数据行,而是在更新时进行检查。如果数据自读取以来没有被其他事务修改,则更新成功;否则,更新失败,并需要采取适当的措施(如重试)。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
凝聚力安全团队

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值