漏洞說明:
金和網(wǎng)絡(luò)是專業(yè)信息化服務(wù)商,為城市監(jiān)管部門提供了互聯(lián)網(wǎng)+監(jiān)管解決方案,為企事業(yè)單位提供組織協(xié)同OA系統(tǒng)開發(fā)平臺,電子政務(wù)一體化平臺,智慧電商平臺等服務(wù)�����。金和OA C6 CallSystemShow.aspx 接口處存在SQL注入漏洞���,攻擊者除了可以利用 SQL 注入漏洞獲取數(shù)據(jù)庫中的信息(例如�,管理員后臺密碼�����、站點(diǎn)的用戶個(gè)人信息)之外��,甚至在高權(quán)限的情況可向服務(wù)器中寫入木馬����,進(jìn)一步獲取服務(wù)器系統(tǒng)權(quán)限��。
漏洞類型:
數(shù)據(jù)注入
漏洞特征:
FOFA:app="金和網(wǎng)絡(luò)-金和OA"
滲透過程:
通過漏洞特征在FOFA找到目標(biāo)
通過POC進(jìn)行時(shí)間盲注�����,回顯時(shí)間>3
1.暫時(shí)攔截對 CallSystemShow.aspx接口的訪問請求�,尤其是訪問內(nèi)容包含數(shù)據(jù)庫操作執(zhí)行語句的請求���; 2.限制訪問來源地址���,如非必要,不要將系統(tǒng)開放在互聯(lián)網(wǎng)上���。
閱讀原文:原文鏈接
該文章在 2025/8/15 11:36:00 編輯過
400 186 1886
