九思OA软件user_list_3g.jsp存在SQL注入漏洞

最新推荐文章于 2024-08-23 16:35:38 发布
最新推荐文章于 2024-08-23 16:35:38 发布
阅读量747 收藏 10
点赞数 5
分类专栏: 漏洞复现 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/136351240
版权

文章目录

前言

九思软件为中国高端OA系统知名品牌,九思OA软件user_list_3g.jsp存在SQL注入漏洞。

声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、漏洞描述

九思软件为中国高端OA系统知名品牌,九思OA软件user_list_3g.jsp存在SQL注入漏洞。

二、影响版本

九思OA软件
在这里插入图片描述

三、漏洞复现

FOFA查询语句:app="九思软件-OA"

漏洞链接:http://127.0.0.1/jsoa/wap2/personalMessage/user_list_3g.jsp?userIds=1&userNames=1&content

了解本专栏 订阅专栏 解锁全文 超级会员免费看
李火火安全阁
关注
专栏目录
订阅专栏
九思OA wap.do接口任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
12-25 628
九思协同办公软件wap.do接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等。
九思OA wap.do 任意文件读取漏洞复现
0xSec
12-21 1653
北京九思协同办公软件wap.do接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
【复现】九思OA系统 SQL注入漏洞_43
fushuang333的博客
02-08 1358
【复现】九思OA系统 SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
九思OA XXE漏洞复现
最新发布
iSee857的博客
08-23 599
九思OA /jsoa/WebServiceProxy 接口处存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,调用外部非可信源实体。关闭互联网暴露面或接口设置访问权限。
西软云XMS getresponseasync XXE漏洞复现
0xSec
04-17 616
西软云XMSgetresponseasync 接口处存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,使系统处于极不安全状态。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 946
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
漏洞复现】九思OA user_list_3g.jsp 存在SQL注入漏洞
KKleeeaa的博客
02-06 441
声明:亲爱的读者,我们诚挚地提醒您,Aniya网络安全的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。Aniya网络安全及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。九思OA中的user_list_3g.jsp接口处存在SQL注入漏洞,攻击者可通过此漏洞进一步渗透,甚至获取管理员账户密码。用户输入的参数进行限制。增加WAF,设置白名单。0x02FOFA语句。
九思OA user_list_3g.jsp SQL注入漏洞复现
0xSec
02-02 511
北京九思协同办公软件user_list_3g.jsp接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
九思OA user_list_3g.jsp SQL注入
weixin_43567873的博客
03-06 51
九思OA user_list_3g.jsp SQL注入
漏洞复现】九思OA-user-list-3g-sql注入
知黑而守白
02-02 352
九思OA办公软件全面实现协同工作、公文、流程审批、知识管理、项目管理、综合办公、信息共享、移动办公 等应用功能,并能够与其他异构系统整合,打破信息孤岛,建立完整的有效的企业工作平台和移动办公软件九思OA协同办公系统 user_list_3g 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
九思OA /jsoa/WebServiceProxy XXE漏洞复现
0xSec
08-15 432
九思OA /jsoa/WebServiceProxy 接口处存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,使系统处于极不安全状态。
记一次在梦中对某oa系统的漏洞挖掘
weixin_40418457的博客
11-11 3035
0X01正文 打开网站…… 先用7kb扫一波目录。 哦吼,发现了一堆的目录遍历(绿色的都是) 这里一个 Log目录十分的显眼,很有可能造成log泄露。 okey,如我所料 收获了一个通用中危洞 √ 27450-kwvsjna88f.png 同时我找到了代表用户名的dlm 接下来,我就从日志文件中收集了一波泄露用户名,然后爆破它 好了,弱口令数量+1 挖洞不是有手就行吗 接着来,登入后台后,我们点开更改头像。 这个oa系统,文件上传地方仅在前端效验后缀,轻松可以绕过。 然后直接连接上菜刀就好
漏洞复现】九思OA-wap-任意文件读取
知黑而守白
01-15 250
九思OA办公软件全面实现协同工作、公文、流程审批、知识管理、项目管理、综合办公、信息共享、移动办公 等应用功能,并能够与其他异构系统整合,打破信息孤岛,建立完整的有效的企业工作平台和移动办公软件九思OA协同办公系统 wap 接口存在文件读取漏洞。攻击者可以通过恶意构造的请求读取服务器上的任意文件,包括敏感的系统文件。此漏洞可能导致泄露敏感信息,为攻击者提供足够的信息来进一步渗透系统。
记录某oasql注入挖掘时的奇葩情况
yangker12148的博客
04-07 262
0x01前言 因为项目需要对一些系统做测试,找到一个oa系统,正好以前搞过类似的oa,就记录一下本次测试的有趣点。 0x02过程 因为以前搞过,所以直接拿sql注入的payload来用,可以看到能查出当前数据库用户是dbo 当前数据库为mssql,所以就看看能不能试试xp_cmdshell,先查询一下xp_cmdshell是否开启(mssql2005版本以后,默认是关闭的,如果要开启需要手动开启)。 exec sp_configure 可以看到xp_cmdshell的值为0/1/0/0所以是没有开启的状态
漏洞汇总】近十日漏洞汇总(已公布poc)
weixin_45840241的博客
04-27 964
【代码】【漏洞汇总】近十日漏洞汇总(已公布poc)
九思OA user-list-3g sql注入
hackzkaq的博客
02-07 506
九思OA办公软件全面实现协同工作、公文、流程审批、知识管理、项目管理、综合办公、信息共享、移动办公 等应用功能,并能够与其他异构系统整合,打破信息孤岛,建立完整的有效的企业工作平台和移动办公软件。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。2、如非必要,禁止公网访问该系统。帮助你在面试中脱颖而出。3、设置白名单访问。
探秘金和OA:解析任意文件读取漏洞的潜在威胁
谢天谢地、不忘祖先、敬偎圣贤
08-12 406
是喜是悲,但可以慰藉的是,你总不枉在这世界上活了一场,有了这样的认识,你就会珍重生活,而不会玩世不恭;同时也会给人自身注入一种强大的内在力量……
九思OA-wap-任意文件读取(含批量验证poc)
weixin_43567873的博客
04-09 90
九思OA-wap-任意文件读取(含批量验证poc)
oa项目java_九思软件:CIO选型OA办公系统实操方法
05-17
在选型OA办公系统之前,需要先明确自己的需求,以及公司的规模、业务流程等情况。接下来,可以按照以下实操方法进行选型: 1. 制定选型标准:根据公司的需求和规模,制定选型标准,包括功能需求、性能要求、安全要求、可扩展性等。 2. 筛选供应商:通过咨询、网络搜索等方式筛选合适的供应商,对比其产品的特点、价格、服务等因素,并选择几家供应商进行比较。 3. 考察供应商:对于选定的几家供应商,可以进行考察,包括实地考察、客户参考、产品演示等方式,以了解其实力、服务能力、产品质量等。 4. 评估和选择:根据考察结果和选型标准,对几家供应商进行评估和比较,最终选择最符合公司需求的供应商和产品。 5. 实施和推广:在选定供应商后,需要对其产品进行实施和推广,包括培训、数据迁移、配置调试等工作,确保其能够顺利地应用到公司的日常办公中。 需要注意的是,在选型过程中,除了考虑产品本身的特点和供应商的实力外,还需要考虑其后续的服务支持和维护能力,以确保其能够长期稳定地运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值