【漏洞复现】（0day）全程云OA-svc-sql注入漏洞

0x01 阅读须知

SCA御盾实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

0x02 漏洞描述

（一） 全程云OA

全程云OA是一种一体化协同办公软件，旨在为企业内部协同办公管理提供高效的软件解决方案。它以公文流管理为核心，将企业日常公文数据在信息数据链上及时、准确地反映出来，为部门人员提供简单快捷的日常办公支持，为部门经理和决策者提供企业内部资源数据支持。全程云OA可以减少内部信息交流瓶颈，提高企业内部办公效率，减少事务性工作的压力，减轻企业人力投入，并提供高效率的信息支持。它还具有企业内部网的功能，可以及时反映内部公告、通知、企业文化、学习讨论园地等。

fofa语法：

body="images/yipeoplehover.png"

（二） 漏洞复现  

报错注入：

漏洞poc+漏洞批量扫描脚本发布在知识星球

| 知识星球的介绍

不好意思，兄弟们，这里给湘安无事星球打个广告，不喜欢的可以直接滑走哦。添加下面wx加星球可享优惠

1.群主为什么要建知识星球？

很简单为了恰饭哈哈哈，然后也是为了建立一个圈子进行交流学习和共享资源嘛相应的也收取费用嘛，毕竟维持星球也需要精力

2.知识星球有哪些资源？

群里面联系群主是可以要一些免费的学习资料的，因为群里面大部分是大学生嘛大学生不就是喜欢白嫖，所以大家会共享一些资料没有的群主wk也有,wk除了不会pc,其他都能嫖hhh

一些实战报告，截的部分

一些1day的poc,这些也就是信息差，不想找可以让wk帮你们嫖,群主也会经常发

一些共享的资源

1.刀客源码的会员2.fofa 360高级会员3.专属漏洞库5.专属内部it免费课程6.不定期直播分享（星球有录屏）

技术交流可加下方wx

原文始发于微信公众号（WK安全）：【漏洞复现】（0day）全程云OA-svc-sql注入漏洞