泛微e-cology getHrmDepartmentInfo接口sql注入漏洞复现 [附POC]

于 2024-08-01 11:59:57 发布
阅读量248 收藏
点赞数 7
分类专栏: 漏洞复现 文章标签: 系统安全 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/140844192
版权

文章目录

泛微e-cology getHrmDepartmentInfo接口sql注入漏洞复现 [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

泛微e-cology依托全新的设计理念,全新的管理思想。为中大型组织创建全新的高效协同办公环境。智能语音办公,简化软件操作界面。身份认证、电子签名、电子签章、数据存证让合同全程数字化。

泛微e-cology getHrmDepartmentInfo接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 影响版本

泛微e-cology

0x04 漏洞环境

FOFA语法:app=“泛微-OA(e-cology)”
在这里插入图片描述

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
泛微e-cology 9 WorkflowServiceXml接口SQL注入漏洞复现 [POC]
薛定谔嘚喵博客
07-26 444
泛微e-cology 9 WorkflowServiceXml接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
泛微E-Cology getLabelByModule SQL注入漏洞复现
0xSec
01-18 1102
由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。
漏洞复现泛微e-cology9 WorkflowServiceXml SQL注入漏洞
今天是几号的博客
07-15 1189
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。漏洞名称泛微e-cology9 WorkflowServiceXml SQL注入漏洞公开时间2024-07-10威胁类型命令执行。
漏洞复现泛微E-Cology WorkflowServiceXml SQL注入漏洞
siu~
07-17 1038
泛微OAE-Cology 接口/services/WorkflowServiceXml 存在SQL注入漏洞,可获取数据库权限,导致数据泄露。
泛微e-cology WorkflowServiceXml SQL注入漏洞(POC)
m0_62584974的博客
07-16 800
泛微 e-cology v10.64.1的/services/接口默认对内网暴露,用于服务调用,未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入,攻击者通过漏洞可以获取服务器数据库敏感信息。分析:基于当前情报,漏洞可能被用于攻击e-Cology WorkflowServiceXml系统,建议更新系统补丁、加强输入验证和限制访问权限。更新e-Cology WorkflowServiceXml系统到最新版本。
泛微E-Cology WorkflowServiceXml SQL注入漏洞复现(QVD-2024-26136)
0xSec
07-12 1574
2024年7月,泛微官方发布了新补丁,修复了一处SQL注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞
泛微e-cology9 SQL注入漏洞复现(QVD-2023-5012)
热门推荐
0xSec
03-20 1万+
泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
泛微E-Cology SQL注入漏洞复现(QVD-2023-15672)
0xSec
07-11 8991
由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。
CNVD-2023-12632 泛微e-cology9 sql注入 poc
三天不打上房揭瓦的博客
03-18 4861
由于泛微e-cology9中对用户前台输入的数据未做校验,可以通过构造恶意的数据包导致SQL注入漏洞,进一步获取敏感数据。
泛微e-cology8前台sql注入漏洞复现
afei001
04-23 2890
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 FOFA实战复现 4.2泛微e-cology8前台sql注入POC 4.3 ecology8_front-desk_SQLi_EXP.py 5.漏洞修复 声明:以下脚本具有攻击性,请勿非法使用,否则后果自负。 1.漏洞概述 泛微e-cology8是一款OA办公产品。但其版本ecology8存在前台SQL注入。可获取系统管理员密码hash。该该漏洞是在2021年04月08日,HW第一天爆出。...
泛微E-cology8管理员后端维护手册全套
09-30
泛微E-cology8是一款企业级的协同办公自动化(OA)系统,专为现代企业管理设计,提供全面的后端维护支持。这套“泛微E-cology8管理员后端维护手册全套”涵盖了OA系统中所有后端模块的详细操作和维护指南,旨在帮助...
泛微E-cology9.0(EC9)官方前台全套操作手册
09-29
泛微E-cology9.0(EC9)是一款先进的企业协同办公系统,专为提升企业工作效率而设计。这个官方前台操作手册包含了全面的用户指南,帮助操作人员熟练掌握系统的各项功能和应用。以下是对手册中可能涉及的主要知识点的...
泛微E-cology 二次开发Java Jar包
08-13
总结,泛微E-cology的二次开发涉及到Java编程语言、J2EE技术、E-cology的API接口以及相关的开发工具。开发者需要具备扎实的Java基础,熟悉E-cology系统架构,通过学习和实践,才能有效地进行系统扩展和定制。同时,...
(泛微e-cology7.0)数据库表结构设计文档
11-05
泛微e-cology7.0数据库表结构设计文档 泛微e-cology7.0数据库表结构设计文档是泛微网络有限公司开发的OA系统的数据库设计文档。该文档对泛微e-cology7.0系统中的所有表结构进行了详细的设计和描述。 一、基础表 ...
【综合架构】模板机系统安装
m0_57945360的博客
07-30 184
【Linux】
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1176
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
web安全基础学习
最新发布
m0_71332744的博客
07-31 207
记录学习的原理,少有实操持续更新
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 678
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值