【1day】​万户协同办公平台 DocumentEdit_unite.jsp接口SQL注入漏洞学习

已于 2023-12-09 00:23:53 修改
阅读量641 收藏
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 漏洞学习 文章标签: 学习
于 2023-10-30 18:48:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaofengdada/article/details/134125592
本文介绍了万户协同办公平台ezOffice中存在的SQL注入漏洞,详细描述了漏洞描述、资产测绘、漏洞复现及修复措施。攻击者可通过输入恶意SQL代码执行未经授权的操作。建议采用参数化查询、输入验证和权限限制等方法防止此类漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。

目录

一、漏洞描述

二、资产测绘

三、漏洞复现  

四、漏洞修复

一、漏洞描述

        万户协同办公平台是一款企业级的协同办公软件,旨在帮助企业提高工作效率和协同能力。该平台提供了多种功能模块,包括日程管理、任务管理、文档管理、邮件管理、审批流程等,支持多人协同操作和实时沟通。万户协同办公平台 ezoffice存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。

二、资产测绘

  • app.name="万户 Ezoffice OA"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
万户OA-SendFileCheckTemplateEdit-sql注入(含批量验证poc)
weixin_43567873的博客
04-15 96
万户OA-SendFileCheckTemplateEdit-sql注入(含批量验证poc)
万户 ezOFFICE DocumentEditExcel.jsp SQL注入漏洞
0xSec
01-31 795
万户 ezOFFICEDocumentEditExcel.jsp接口存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
漏洞复现】万户 ezOFFICE协同管理平台 getAutoCode SQL注入
最新发布
今天是几号的博客
08-01 1071
万户OA ezofice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。万户 ezOFFICE getAutoCodejsp 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。
万户OA RhinoScriptEngineService 命令执行漏洞
weixin_43567873的博客
03-10 288
万户OA RhinoScriptEngineService 命令执行漏洞
oracle sql注入绕过,万户OA某处绕过限制文件上传以及sql注入(无需登陆,通杀专业版标准版)...
weixin_36057482的博客
04-05 2659
sql注入:WooYun: 万户OA某处无限制sql注入里面的方法适用于标准版,专业版存在同样的文件但是路径不一样。defaultroot\iWebRevision.jsp\DocumentEdit.jspif (ObjConnBean.OpenConnection()) {System.out.println("OpenConnection");String Sql="Select * From...
A002-185-2537-翁格婉(个人期末作业)
qq_33680482的博客
01-02 3724
Excel查找结合项目主题说明1.作业查词说明1.1第一次查词1.1.1Requirements baseline(需求基线)1.1.2Enterprise Architect(企业架构师)1.1.3Unified Modeling Language( 统一建模语言)1.1.3Unified Modeling Language( 统一建模语言)1.1.5Asynchronous Processes(异步进程)1.1.6association class(关联类)1.1.7behavioral model a
万户ezEIP 前台aspx接口 反序列化漏洞
WuYSec的博客
06-06 948
万户ezEIP全网站门户管理系统是一个富含可扩展模块的便捷建站系统,系统拥有完善的多用户组权限管理和通用的前台信息内容管理,便于企业在运营网站时的多个管理角色对网站内容的协同管理。万户ezEIP存在反序列化漏洞,攻击者可以利用此漏洞执行任意命令,通过该漏洞可以获取服务器权限。
万户OA漏洞分析、利用与防护
不忘初心,护天下安全!
09-29 3547
万户OA 除了 /defaultroot/officeserverservlet 接口外的另一处接口 OfficeServer.jsp 同时也存在任意文件上传漏洞,导致攻击者可上传任意文件获取服务器权限。万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。万户OA download_old.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件。2.使用防火墙等设备对所有相关poc进行检测、防护。可直接上传恶意jsp文件。
漏洞复现】万户OA-contract_gd-sql注入
知黑而守白
03-25 278
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA contract_gd 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
万户协同办公平台 ezoffice未授权访问漏洞
xiaokp7的博客
09-13 971
万户ezOFFICE协同管理平台是一个综合信息基础应用平台万户ezoffice协同管理平台存在未授权访问漏洞,攻击者可以从evoInterfaceServlet接口获得系统登录账号和用MD5加密的密码。
漏洞复现--万户ezoffice FileCheckTemplateEdit SQL注入
qq_53003652的博客
11-23 817
万户ezOFFICE协同管理平台是一个综合信息基础应用平台。此系统SendFileCheckTemplateEdit.jsp存在SQL注入万户ezoffice。
万户OA jsp/view.jsp反射型XSS漏洞复现
afei001
01-10 515
万户OA是集协同软件、门户网站、ERP、CRM、HR、财务、电子邮件、视频会议的功能的一种综合性办公系统。该产品存在反射型XSS漏洞,攻击者可利用该漏洞在HTML上下文中执行JavaScript恶意代码。
万户协同办公平台ezoffice未授权访问漏洞
薛定谔嘚喵博客
08-31 525
万户ezOFFICE协同管理平台是一个综合信息基础应用平台万户ezoffice协同管理平台存在未授权访问漏洞,攻击者可以从evoInterfaceServlet接口获得系统登录账号和用MD5加密的密码。
漏洞复现】万户OA-wpsservlet-sql注入
知黑而守白
01-19 165
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA wpsservlet 接口存在sql注入漏洞,攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
万户 ezOFFICE pic.jsp SQL注入漏洞复现
0xSec
01-30 510
万户 ezOFFICE/defaultroot/platform/portal/portlet/pic/pic.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
万户 ezOFFICE存在SQL注入漏洞-1day未公开漏洞
weixin_43167326的博客
01-29 520
万户OA是一个提供协同办公管理服务的系统。这个系统能帮助企业实现高效、有序的信息沟通,规范企业工作流程,使各员工之间可以密切地交流协作。通过在输入字段中插入或“注入”恶意的SQL代码,从而影响程序执行的SQL查询。攻击者利用这种漏洞,可以在数据库中执行任意SQL命令,可能导致数据泄露、数据篡改或其他恶意行为。
万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件
nnn2188185的博客
02-24 170
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发万户ezOFFICE集团版协同平台以工作流程、知识管理、沟通交流和辅助办公四大核心应用。
漏洞复现】万户OA-AdminService-RCE
知黑而守白
01-19 467
万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。万户OA存在一处远程代码执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
万户OA jsp/view.jsp反射型XSS漏洞分析与自动化验证脚本
afei001
01-09 441
万户OA jsp/view.jsp反射型XSS漏洞分析与自动化验证脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaochuhe--kaishui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值