0x01 产品简介
金汇-综合管理信息系统(以下简称“金汇综合管理系统”)是基于上海金汇软件有限公司多年行业系统开发和实施经验的一整套管理解决方案。本系统的目的是利用信息技术提高企业管理效率,优化资源配置,实现办公OA化、无纸化。该系统集成了公司日常运营、项目管理、财务管理、人力资源管理等功能,通过统一平台实现数据共享和流程协作。系统聚焦用户需求,结合行业最佳实践,为企业提供一套高效、灵活、易用的管理工具。
0x02 漏洞概述
金汇综合管理信息系统LoginBegin.aspx(登录界面)不会对外部输入的SQL语句进行严格的验证或过滤,而是直接将其带入数据库并执行,使得未经身份验证的远程攻击者很容易检索到其中的信息。数据库使用SQL注入。通过利用数据库(例如管理员的后端密码或站点用户的个人信息),该漏洞可能允许特洛伊木马在高权限条件下写入服务器,从而获得服务器系统的进一步权限。性别。
0x03 复现环境
福法:
body=\’/Portal/LoginBegin.aspx\’
0x04 漏洞复现
示范实验
POST /Portal/LoginBegin.aspx?ReturnUrl=%2f HTTP/1.1
主机:
Accept-Encoding: gzip、deflate
接受: */*
X-Requested-With: XMLHttpRequest
内容类型:
以上关于#金辉的相关内容摘自网络,供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93929.html