正文

【漏洞复现】九思OA系列漏洞之文件上传-文件读取-SQL注入漏洞

admin
admin V管理员 /0 评论 /173 阅读
0922
此篇文章发布距今已超过51天,您需要注意文章的内容或图片是否可用!
免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!

0x01产品介绍

九思OA办公自动化系统平台基于开发JAVA语言开发,以领先的四层(数据层、服务层、应用层、展现层)技术架构,遵循J2EE标准、 SOA标准、WFMC标准、W3C xForm标准、JSR168、WSRP等标准OA技术,封装了大量接口、构件,以多维门户 形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插 件体系,支持未来的不断扩展。

0x02漏洞描述
  • /jsoa/OfficeServer接口存在SQL注入漏洞
  • /jsoa/wpsforlinux/src/upload_l.jsp接口存在任意文件上传漏洞
  • /jsoa/OfficeServer”接口存在文件读取漏洞

指纹:

body="/jsoa/login.jsp"

SQL注入漏洞

文件上传

任意文件读取

0x04扫码加入星球查看详情

0x05星球介绍

马赛克安全

专注于漏洞情报分享,不发烂大街的东西。星球外面的兄弟欢迎进来白嫖,不满意三天退款。放心大胆的进来嫖。

很多漏洞均为全网首发的0day/1day


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com