万户OA某页面通用性SQL注入(又影响N个政府网和医疗机构)

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 其实我一直琢磨,之前发的那个,为什么有一部分不能注入,后来找了找,发现不能注入的都是oracle数据库,很好奇。。。然后……就发现了这个通用注入。。例子中,涉及淮北市卫生局,内蒙古海勃湾区市政府、怀远县政府等多家政府单位和医疗机构。在注入时貌似有些限制,凌晨1:45了,就不继续测试了,该睡觉了。。 ### 详细说明: 万户OA协同管理系统,存在POST注入 问题链接:defaultroot/mobile/index.jsp 该登陆框,username处没有做过滤,导致了POST注入 详细看图吧。。。 ### 漏洞证明: http://60.172.210.251:7001/defaultroot/mobile/index.jsp?action=password 淮北市卫生局 海勃湾区政府 [<img src="https://images.seebug.org/upload/201409/02014734bbbba7fc7d5f2060b98621cad1513d74.png" alt="海勃湾区政府.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/02014734bbbba7fc7d5f2060b98621cad1513d74.png) [<img src="https://images.seebug.org/upload/201409/0201455269929538849c4f65371f8590e68da1d0.png" alt="海勃湾区市政府OA-sql注入.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/0201455269929538849c4f65371f8590e68da1d0.png) [<img src="https://images.seebug.org/upload/201409/02014621e8ae3b6ffb7535a0be8b399583020dfd.png" alt="怀远县政府OA-sql注入.png"...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息