1、产品简介   泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。2、漏洞概述  泛微e-cology9中存在SQL注入漏洞，未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息，进一步利用可能导致目标系统被控。3、影响范围 影响版本泛微e-cology9不受影响版本泛微e-cology9>=10.564、复现环境 FOFA：app="泛微-协同商务系统"5、漏洞复现  访问漏洞环境，burp抓包发送Repeater模块进行利用 当前网上流传的P

泛微E-CologyCheckServer.jspSQL注入漏洞(QVD-2023-9849)复现1.漏洞描述泛微EcologyOA系统对用户传入的数据过滤处理不当，导致存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。影响版本：泛微Ecology9.x2.漏洞复现POC/mobile/plugin/CheckServer.jsp?type=mobileSetting返回状态码200且参数值为{“error”;”systemerror”}证明漏洞存在进行延时注入：/weaver/weaver.docs.docs.ShowDocsImageSe

0x01 阅读须知天擎攻防实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！0x02漏洞描述（一） 泛微e-cology泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公。该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞

漏洞描述泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微e-cology受影响版本存在SQL注入漏洞，未经授权的远程攻击者可通过发送特殊的HTTP请求来获取数据库的敏感信息。漏洞名称GeoServer存在sql注入漏洞漏洞类型SQL注入发现时间2023/4/22漏洞影响广度广MPS编号MPS-ndqt-0im5CVE编号-CNVD编号-影响范围e-cology8@(-∞,10.57)e-cology9@(-∞,10.57)修复方案将组件e-cology8升级至10.57及以上版本将组件e-cology9升级至10.57及以上版本参考链接https://www.oscs1

文章目录前言声明一、产品介绍二、漏洞描述三、影响范围四、漏洞分析五、漏洞复现六、SQLMAP漏洞利用七、修复方案前言泛微E-Cologyv9Browser.jsp存在SQL注入漏洞，攻击者可通过该漏洞获取服务器数据库敏感信息。声明本篇文章仅用于漏洞复现与技术研究，请勿利用文章内的相关技术从事非法测试，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用！！！一、产品介绍泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。二、漏洞描述泛微新一代移动办

漏洞描述i⭐泛微OAE-Cology信息泄露API接口漏洞只针对e-cologyv9.0版本才有用,JS文件中有一个API接口漏洞影响s✅E-cology=9.0空间测绘d⭕FOFA：app="泛微-协同办公OA"漏洞复现访问首页✅路径/api/ec/dev/app/test我的个人博客https://gylq.gitee.io/time/

泛微e-cology9browser.jspSQL注入漏洞漏洞描述（介绍、成因）泛微e-cology9中存在SQL注入漏洞，经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息，进一步利用可能导致目标系统被控。漏洞危害恶意攻击者可能会利用SQL注入漏洞获取、篡改数据库数据，执行系统命令，甚至获取系统控制权限。适用场景泛微e-cology9漏洞复现过程（有条件的自行搭建环境）1、构建数据包POST/mobile/plugin/browser.jspHTTP/1.1Host:xxxX-Requested-With:XMLHttpRequestUser-Agent:Mozilla/5.0(Linu

漏洞复现泛微OAE-CologyV9browser.jspSQL注入漏洞漏洞描述泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。泛微OAE-Cology平台browser.jsp处存在SQL注入漏洞，攻击者通过漏洞可以获取服务器数据库权限。漏洞复现fofa：app="泛微-协同商务系统"1.使用POC查看当前数据库版本，返回结果1.MSSQL命令：a'unionselect1,''+(SELECT@@VERSION)+'2.POCPOST/mobile/%20/plugin/browser.jspHTTP

目录漏洞描述影响版本漏洞复现漏洞修复众亦信安，中意你啊！微信搜索：众亦信安，回复关键字：230317领批量检测脚本。声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。漏洞描述泛微E-Cology9协同办公系统是一套基于JSP及SQLServer数据库的OA系统，包括知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等打造协同高效的企业管理环境，突破企业人、财、物、信息、流程等各种资源之间的屏障，并将集团各企业、企业各部门、各分支机构、以及企业与外部的供应商、分销商、客户及其他合作伙伴等整合在一