金和OA C6 SignUpload.ashx SQL注入漏洞

2024年10月9日00:34:45评论61 views字数 420阅读1分24秒阅读模式

00产品简介

金和OA协同办公管理系统软件（简称金和OA），本着简单、适用、高效的原则，贴合企事业单位的实际需求，实行通用化、标准化、智能化、人性化的产品设计，充分体现企事业单位规范管理、提高办公效率的核心思想，为用户提供一整套标准的办公自动化解决方案，以帮助企事业单位迅速建立便捷规范的办公环境。

01漏洞概述

金和OA C6 SignUpload.ashx 接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

02搜索引擎

FOFA:

app="金和网络-金和OA"

金和OA C6 SignUpload.ashx SQL注入漏洞

03漏洞复现

延时5秒

金和OA C6 SignUpload.ashx SQL注入漏洞

sqlmap验证

金和OA C6 SignUpload.ashx SQL注入漏洞

04

检测工具

nuclei

金和OA C6 SignUpload.ashx SQL注入漏洞

afrog

金和OA C6 SignUpload.ashx SQL注入漏洞

xray

金和OA C6 SignUpload.ashx SQL注入漏洞

05

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、使用预编译

06

原文始发于微信公众号（nday POC）：金和OA C6 SignUpload.ashx SQL注入漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞复现 || XWiki Platform系统远程代码执行 POC

用友NC files 反序列化RCE

【高危漏洞预警】Elastic Kibana需授权代码注入漏洞 (CVE-2025-25014)

CVE-2025-2905（CVSS 9.1）：WSO2 API 管理器中发现严重 XXE 漏洞

【风险通告】Elastic Kibana存在原型污染致任意代码执行漏洞（CVE-2025-25014）

Kibana 原型污染导致执行任意代码漏洞（CVE-2025-25014）

CVE-2025-24071：通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值

Kibana 原型污染导致执行任意代码漏洞（CVE-2025-25014）

WordPress depicter插件SQL注入漏洞（CVE-2025-2011）

Kibana 原型污染导致任意代码执行漏洞 (CVE-2025-25014)

本文由 admin 发表于 2024年10月9日00:34:45
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
金和OA C6 SignUpload.ashx SQL注入漏洞https://cn-sec.com/archives/3243265.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

目录

8888