泛微e-cology9接口services前台SQL注入漏洞_泛微e-coloogy9接口workplanservice前台sql注入

0x01阅读须知

        本文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考。本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责。本文所提供的工具仅用于学习，禁止用于其他！！！

0x02漏洞概述

       泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

fofa

app="泛微-E-Weaver"

0x03漏洞描述

       SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器获取数据的功能但没有对目标地址做过滤与限制。攻击者可以利用改漏洞获取内部系统的一些信息(因为它是由服务端发起的。

0x04POC利用(POC在内部星球，点击下方地址加入星球获取POC)

HW漏洞情报（POC在内部星球）

赛蓝企业管理系统EHR***Upload***存在任意文件上传漏洞
启明星辰天清汉马vpn存在任意文件读取漏洞
科拓全智能停车视频收费系统CancelIdList存在SQL注入漏洞
网神SecSSL3600安全接入网关系统VPN存在任意密码修改漏洞
泛微E-Mobile移动管理平台installOperate.do存在SSRF漏洞
泛微e-cology 9 存在SSRF漏洞
H3C Workspace 云桌面 远程命令执行漏洞
海康威视综合安防管理平台远程代码执行漏洞
LiveNVR流媒体服务软件存在未授权访问漏洞
用友NC-Cloud blobRefClassSearch接口存在FastJson反序列化漏洞
华磊科技物流modifyInsurance存在sql注入漏洞
天问物业ERP系统ContractDownLoad存在任意文件读取漏洞
Bazarr swaggerui任意文件读取漏洞
天问物业ERP系统Li******存在任意文件读取漏洞
天问物业ERP系统Pa******存在任意文件读取漏洞
天问物业ERP系统Pl******存在任意文件读取漏洞
天问物业ERP系统Va******存在任意文件读取漏洞
Apache RocketMQ 敏感数据泄露漏洞
飞讯云WMS /MyDown/MylmportData 前台SQL注入漏洞
红海云eHR kgFile.mob 任意文件上传漏洞
PEPM Cookie 远程代码执行漏洞
猎鹰安全(金山)终端安全系统V9 远程代码执行漏洞
湖南众合百易信息技术有限公司 资产管理运营系统 comfileup.php 前台文件上传漏洞