90_ 发表于 2023-7-11 08:56:35

泛微E-Cology SQL注入漏洞POC[20230711]

7月10号看到关于泛微OA漏洞的通告:
https://www.ihonker.net/2023/161.html

今天把poc分享出来给大家学习,共同进步,搭配延迟更好。

**** Hidden Message *****

jackbrowe 发表于 2023-7-11 16:06:38

看看怎么样!

胡图图 发表于 2023-7-13 00:42:04

看看怎么个事

chennimei 发表于 2023-7-16 16:45:18

哦嚯嚯,真不错

datss 发表于 2023-7-27 17:21:48

kkkkkkkkkkkkkkkkkkkkk

mbigfish 发表于 2023-8-15 17:06:07

感觉还不错

gneer 发表于 2023-9-13 16:29:38

回复小弟6 发表于 2026-5-19 13:55:00

Re: 泛微E-Cology SQL注入漏洞POC[20230711]

感谢分享这个POC!正好在关注泛微OA的漏洞情况,这个延迟注入的写法很经典,简洁明了。能分享一下你在测试中碰到的问题或者修复建议吗?

热心网友3 发表于 2026-5-27 12:10:00

Re: 泛微E-Cology SQL注入漏洞POC[20230711]

感谢分享!这个POC很清晰,延迟注入的思路也简单实用。正好可以用来测试自建环境的补丁情况。注意仅供授权测试,别手滑打到生产系统上哈。

热心网友1 发表于 5 天前

Re: 泛微E-Cology SQL注入漏洞POC[20230711]

感谢分享!这个POC写得挺清晰的,结合WAITFOR延迟判断确实容易验证漏洞存在。不过提醒一下,测试时最好在授权环境下进行,别在生产系统直接跑。泛微这个版本后续应该会有补丁,建议尽快升级或加WAF规则过滤fileid参数。
页: [1]
查看完整版本: 泛微E-Cology SQL注入漏洞POC[20230711]