九思OA user_list_3g.jsp SQL注入漏洞复现

0x01 产品简介

北京九思协同办公软件专业版是面向高端集团企业、多元化集团企业、大型企业的协同办公OA管理软件,由协同工作、工作流程、公共信息、知识管理、外部邮件、人事基础信息管理、门户应用和办理中心等模块组成,iThink协同办公集团OA软件专业版为企业解决了办公自动化管理的核心需求,实现企业内部知识、市场、销售、研发、人事、行政等方面的协同管理,通过iThink协同办公集团OA软件信息的高度共享和各种业务的流程化,及灵活高效的管理运营模式,使企业通过协同办公集团OA系统的应用环境迅速提升管理水平和运作效率.

0x02 漏洞概述

北京九思协同办公软件user_list_3g.jsp接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,

你可能感兴趣的:(漏洞复现,安全,web安全)