漏洞复现-红帆OA iorepsavexml.aspx文件上传漏洞（附漏洞检测脚本）

最新推荐文章于 2024-06-20 15:09:06 发布

炼金术师诸葛亮

最新推荐文章于 2024-06-20 15:09:06 发布

阅读量2k

点赞数 12

文章标签：安全 web安全

本文链接：https://blog.youkuaiyun.com/jjjj1029056414/article/details/135182517

版权

免责声明

文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责

漏洞描述

红帆OA 存在任意文件读取漏洞，攻击者可通过此漏洞上传webshell木马，获取服务器控制权限

fofa语句

app="红帆-ioffice" || app="红帆-HFOffice"

poc加检测

POST /ioffice/

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

炼金术师诸葛亮

关注关注

12
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【漏洞复现】红帆OA iorepsavexml.aspx文件上传漏洞

失心少年

12-16

1176

广州红帆科技深耕医疗行业20余年，专注医院行政管控，与企业微信、阿里钉钉全方位结合，推出web移动一体化办公解决方案——iOffice20（医微云）。提供行政办公、专业科室应用、决策辅助等信息化工具，采取平台化管理模式，取代医疗机构过往多系统分散式管理，实现医院内各科室之间的快速分工合作，并通过整合各类管理应用，让医疗机构管理者随时随地把控医院的运营管理情况，同时为行政管理人员提供便捷多终端的移动协同工具，推进移动办公全面落地，深化互联网+医疗建设，成就面向医疗机构的“智慧管控”。

红帆OA iorepsavexml接口任意文件上传漏洞复现 [附POC]

薛定谔嘚喵博客

12-08

706

红帆移动OA系统，是广州红帆电脑科技有限公司基于微软.NET技术研发的，建立以笔记本、手机等便捷终端为载体实现的移动信息化系统。可以连接客户原有的iOffice.net办公平台使手机也可以用以操作、浏览、管理公司的全部工作事务，是iOffice.net办公平台的一个强有力的补充。红帆OA iorepsavexml接口存在任意文件上传漏洞，可上传恶意文件至服务器。

参与评论您还未登录，请先登录后发表或查看评论

红帆OA udfmr.asmx SQL注入漏洞复现

0xSec

08-18

4328

红帆iOffice.netudfmr.asmx接口处存在SQL注入漏洞，未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证，最终可能导致服务器失陷。

红帆OA iorepsavexml接口任意文件上传漏洞（含批量验证poc）

weixin_43567873的博客

04-07

210

红帆OA iorepsavexml接口任意文件上传漏洞（含批量验证poc）

红帆iOffice iorepsavexml.aspx接口存在任意文件上传漏洞附POC

nnn2188185的博客

12-23

647

红帆iOffice iorepsavexml.aspx接口存在任意文件上传漏洞附POC

2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)

08-21

4541

2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总，截止目前已更新到91个漏洞，本文会实时更新，有新的漏洞都会加上

2023HW漏洞POC/EXP、情报汇总知识库（0820更新）

lurenjia404的博客

08-21

2722

分析结论：木马下载器HW总结模板一2023年，与往年的护网“划水”的角色不同，领导鼓励（命令）我今年要扛起写护网总结报告的大旗。作为一线“工具人”，写总结材料真的很头疼，相信很多人和我都有同感。于是在护网开始就开始着手准备总结材料，做到未雨绸缪，尤其是4月护网结束后，下面还有省级、市级护网，以及7月的建党100周年的安保，估计每次都将会少不了总结报告。特从网上搜集了总结模板，分享给大家。由于每家企业防护手段不一、组织架构不一，并且以下案例未必真实，所以完全照抄的可能性不大，所以仅供参考~~~

红帆OA 多处 SQL注入漏洞复现

0xSec

03-04

1225

红帆iOffice.netioDesktopData.asmx、wssRtSyn.asmx、GetWorkUnit.asmx、udfGetDocStep.asmx等接口处存在SQL注入漏洞，未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证，最终可能导致服务器失陷。

【漏洞复现】红帆iOffice.net wssRtSyn接口处存在SQL注入

2301_80127209的博客

06-20

1024

红帆iOffice.net从最早满足医院行政办公需求（传统OA），到目前融合了卫生主管部门的管理规范和众多行业特色应用，是目前唯一定位于解决医院综合业务管理的软件，是最符合医院行业特点的医院综合业务管理平台，是成功案例最多的医院综合业务管理软件。申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等。帮助你在面试中脱颖而出。

漏洞复现-红帆OA系列

aming小老弟

03-15

1796

红帆OA--------------------------------------------fofa:app=“红帆-ioffice”

asp,aspx后门(webshell)10+个

11-24

前几天清理某企业服务器时检查出来的,各种后门没有重复的大家可以下载来研究一下

【漏洞复现】红帆-ioffice-ioDesktopData-sql注入

知黑而守白

03-05

205

红帆HFOffice医微云是广州红帆科技有限公司研发的专注医疗行政办公管理，与企业微信全方位结合，提供协同办公、知识库、专家系统、BI等应用，进一步帮助医院移动办公落地，成就面向医院管理的“智慧管理”。红帆HFOffice ioDesktopData 接口处存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

红帆OA iorepsavexml接口任意文件上传漏洞（含批量验证poc）_ ioffice prg set iocom iodoceditservernew

2401_83974370的博客

04-14

602

红帆OA，即红帆办公自动化系统，是一种基于微软.NET技术开发的办公自动化解决方案。它旨在解决企业或政府办公中遇到的“自动化孤岛”和“信息化孤岛”问题，提供支持信息访问、传递以及跨组织工作的集成化商务环境。红帆OA 存在任意文件上传漏洞，攻击者可通过此漏洞上传webshell木马，获取服务器控制权限。

【漏洞复现】红帆-ioffice-CAWS-sql注入

知黑而守白

03-05

240

红帆HFOffice医微云是广州红帆科技有限公司研发的专注医疗行政办公管理，与企业微信全方位结合，提供协同办公、知识库、专家系统、BI等应用，进一步帮助医院移动办公落地，成就面向医院管理的“智慧管理”。红帆HFOffice CAWS 接口处存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

文件上传漏洞

weixin_53696027的博客

02-24

439

关于文件上传漏洞绕过防护方式的一些方法

OA-命令执行漏洞复现

千寻的博客

03-23

3046

文章目录0x01介绍0x02原理0x03影响版本0x04环境搭建0x05漏洞复现方法一:通过抓包，改包进行利用方法二：直接利用免责声明本文档供学习，请使用者注意使用环境并遵守国家相关法律法规!由于使用不当造成的后果上传者概不负责！ 0x01介绍 OA（Office Anywhere网络智能办公系统）办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。 OA为各行业不同规模的众多用户提...

红帆ioffice-udfGetDocStep.asmx存在SQL注入漏洞

qq_36334672的博客

03-13

414

红帆iOffice.net udfGetDocStep.asmx接口处存在SQL注入漏洞，未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证，最终可能导致服务器失陷。

红帆iOffice ioDesktopData.asmx接口存在SQL注入漏洞附POC软件

nnn2188185的博客

03-04

323

红帆iOffice ioDesktopData.asmx接口存在SQL注入漏洞附POC软件

【漏洞复现】红帆-ioffice-ioFileDown-文件读取

知黑而守白

03-05

274

红帆HFOffice医微云是广州红帆科技有限公司研发的专注医疗行政办公管理，与企业微信全方位结合，提供协同办公、知识库、专家系统、BI等应用，进一步帮助医院移动办公落地，成就面向医院管理的“智慧管理”。红帆HFOffice ioFileDown 接口存在一个任意文件读取漏洞，攻击者可以通过构造精心设计的请求，成功利用漏洞读取服务器上的任意文件，包括敏感系统文件和应用程序配置文件等。通过利用此漏洞，攻击者可能获得系统内的敏感信息，导致潜在的信息泄露风险。

红帆 zyy_AttFile SQL注入漏洞