DzzOffice办公软件 SQL注入漏洞复现(CVE-2023-39853)
2024-01-10 09:28:17
0x01 产品简介
DzzOffice是一套开源办公套件,适用于企业、团队搭建自己的 类似“Google企业应用套件”、“微软Office365”的企业协同办公平台,该平台可为用于提供在线文档、表格、网盘、演示等功能。
0x02 漏洞概述
DzzOffice办公软件 /index.php?mod=explorer&op=dynamic&do=filelist(网盘动态功能模块)接口处存在SQL注入漏洞,未授权的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x03 影响范围
version <= dzzoffice2.02.1_SC_UTF8
0x04 复现环境
FOFA:
icon_hash="-1961736892" && body="立即注册"
0x05 漏洞复现
注册任意用户进入后台
点击网盘—>动态—>点搜索框搜索抓包
文章来源:https://blog.csdn.net/qq_41904294/article/details/135493445
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!