欢迎光临散文网会员登陆 & 注册

记录工作中遇到的安全漏洞2

2023-05-18 13:38 作者:星星好大颗 0人读过 | 我要投稿

工作发现，多个单位网站和后台系统存在致远OA A6 SQL注入漏洞，致远OA A6的test.jsp存在sql注入漏洞，攻击者可以通过注入漏洞写入webshell文件控制服务器。最终会造成攻击者上传木马控制系统后台权限，漏洞威胁等级属于高危。

依旧用引擎搜索，不得不说这个用来找批量漏洞真好使

随便找一个

先测试系统是否存在test.jsp文件，然后进行解析测试sql注入漏洞

确实存在sql注入，并且可以推测出web应用的根目录

注入一个新的swz01.jsp文件，由于jsp文件中存在特殊符号，所以我们要先对jsp木马进行hex编码

执行JSP文件里的一句话木马回显信息，结果证实存在注入漏洞

后续进行webshell上传然后用蚁剑连接控制后台

标签：

记录工作中遇到的安全漏洞2的评论 (共条)