文章来源:一个安全研究员
1.测试环境
测试版本:通达OA v11.7版本
限制条件:需要账号登录
2.代码审计发现注入
注入出现在general/hr/manage/query/delete_cascade.php文件中,代码实现如下:
首先判断$condition_cascade是否为空,如果不为空,则将其中的'替换为'。为什么要这样替换呢,主要是因为V11.7版本中,注册变量时考虑了安全问题,将用户输入的字符用addslashes函数进行保护,如下:
inc/common.inc.php代码
因为是无回显机制,是盲注,所以尝试(select 1 from (select sleep(5))a),结果没那么