科荣AIO管理系统 moffice接口SQL注入漏洞复现 [附POC]

最新推荐文章于 2024-09-28 12:29:36 发布
最新推荐文章于 2024-09-28 12:29:36 发布
阅读量348 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 系统安全 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/140717236

文章目录

科荣AIO管理系统 moffice接口SQL注入漏洞复现 [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

科荣 AIO 公司服务软件企业一体化管理解决方案,通过ERP(进销存财务)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台),集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决了众多企业客户在管理过程中跨部门、多功能、需求多变等通用及个性化的问题。

科荣AIO管理系统moffice接口存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 影响版本

科荣AIO管理系统

0x04 漏洞环境

FOFA语法: body=“changeAccount(‘8000’)”

了解本专栏 订阅专栏 解锁全文 超级会员免费看
万户 ezOFFICE协同管理平台 getAutoCode SQL注入漏洞复现(XVE-2024-18749)
0xSec
08-01 1031
​万户 ezOFFICEgetAutoCode.jsp 接口存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
AIO ReportServlet 任意文件读取漏洞复现
0xSec
12-28 1094
AIO ReportServlet 接口存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
万户OA漏洞分析、利用与防护
不忘初心,护天下安全!
09-29 3563
万户OA 除了 /defaultroot/officeserverservlet 接口外的另一处接口 OfficeServer.jsp 同时也存在任意文件上传漏洞,导致攻击者可上传任意文件获取服务器权限。万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。万户OA download_old.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。2.使用防火墙等设备对所有相关poc进行检测、防护。可直接上传恶意jsp文件。
漏洞复现AIO管理系统endTime参数存在SQL注入漏洞
网安小白
08-17 802
AIO 企业⼀体化管理解决⽅案 通过ERPERP(进销存财务)、OAOA(办公⾃动化)、CRMCRM(客⼾关系管理)、UDPUDP(⾃定义平台),集电⼦商务平台、⽀付平台、ERP 平台、微信平台、移动APP 等解决了众多企业客⼾在管理过程中跨部⻔、多功能、需求多变等通⽤及个性化的问题。
漏洞复现】万户OA file2Html.controller 远程文件下载漏洞(RCE)
sheep_qm的博客
01-30 1150
万户OA(Office Automation)是一款企业级协同办公管理软件,旨在为企业提供全面的办公自动化解决方案。 万户ezOFFICE存在任意文件上传漏洞。攻击者可以通过该远程下载任意文件到目标服务器,导致攻击者可获取服务器控制权限。
AIO moffice SQL注入漏洞复现
0xSec
06-29 841
AIO moffice 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现AIO管理系统-任意文件读取-PublicServlet
知黑而守白
06-19 193
AIO公司服务软件企业一体化管理解决方案,通过ERP(进销存财务)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台),集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决了众多企业客户在管理过程中跨部门、多功能、需求多变等通用及个性化的问题。 AIO 管理系统PublicServlet接口存在任意文件读取漏洞,恶意攻击者可能会利用此漏洞读取敏感文件,造成信息泄露。
AIO系统 UtilServlet 代码执行漏洞
iSee857的博客
09-14 283
AIO管理系统存在命令执行漏洞,攻击者可以通过构造恶意请求,进行远程代码执行。可导致服务器失陷,为确保系统安全,建议尽快修复漏洞。如⾮必要,禁⽌公⽹访问该系统。请及时升级产品到最新版本。
AIO管理系统V7版-用户手册
06-24
AIO管理系统V7版-用户手册》是一份详尽的指南,旨在帮助用户理解和操作AIO管理系统的最新版本——V7。这份手册不仅适合初学者,也适用于有一定经验的用户,提供了从基础到进阶的全方位学习资料。手册的...
漏洞复现】万户OA-AdminService-RCE
知黑而守白
01-19 492
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA存在一处远程代码执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
万户OA jsp/view.jsp反射型XSS漏洞分析与自动化验证脚本
afei001
01-09 461
万户OA jsp/view.jsp反射型XSS漏洞分析与自动化验证脚本。
万户OA-ezOFFICE fileUpload.controller 任意文件上传漏洞复现
最新发布
iSee857的博客
09-28 1017
万户OA-ezOFFICE fileUpload.controller中存在一个 任意文件上传漏洞,通过这个漏洞可以操纵任意文件的写入。这意味着不法分子可以利用这个漏洞来上传任意可执行性文件用于远程系统执行、数据获取、系统接管等,严重威胁系统的安全性。万户ezOFFICE存在任意文件上传漏洞。攻击者可以通过该远程下载任意文件到目标服务器,导致攻击者可获取服务器控制权限。Fofa:app="万户ezOFFICE协同管理平台" || app="万户网络-ezOFFICE"上传成功后拼接下列接口进行访问。
Goby 漏洞更新 | 万户 OA OfficeServer.jsp 任意文件上传漏洞
m0_46699477的博客
04-27 2010
ezOFFICE OA是面向政府机关、企事业单位的FlexOffice独立安全协同办公平台。 ezOFFICE OA OfficeServer jsp存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件控制整个服务器。
万户oa漏洞复现
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-25 2444
万户oa漏洞复现:万户oa漏洞详情 /defaultroot/officeserverservlet 路径存在文件上传漏洞 万户oa漏洞复现 POST /defaultroot/officeserverservlet HTTP/1.1 Host: XXXXXXXXX:7001 Content-Length: 782 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://XXXXXXXX7001 User-Agent
万户ezOFFICE filesendcheck_gd.jsp SQL注入
iSee857的博客
09-10 336
万户 ezOFFICE filesendcheck_gd.jsp 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。Fofa:app="万户网络-ezOFFICE"
复现】万户ezoffice协同管理平台sql注入漏洞_69
fushuang333的博客
04-09 1022
复现】万户ezoffice协同管理平台sql注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
万户OA RhinoScriptEngineService 命令执行漏洞
weixin_43567873的博客
03-10 304
万户OA RhinoScriptEngineService 命令执行漏洞
万户OA upload任意文件上传漏洞复现
0xSec
11-20 1619
万户ezOFFICE协同管理平台upload接口存在任意文件上传漏洞,未经身份认证的攻击者可以通过此漏洞上传恶意后门文件,造成代码执行或服务器失陷。
漏洞复现】万户OA-contract_gd-sql注入
知黑而守白
03-25 287
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA contract_gd 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
AIO管理系统V7版学习手册:从零基础到实战
AIO管理系统V7版-用户手册》是公司针对其AIO管理系统V7版发布的一份详细文档,旨在帮助用户从零开始学习和掌握该系统的使用。以下是从该用户手册中能够提取的知识点,包括了系统功能、操作流程、安装配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值