【漏洞复现】九思OA getUserStatusByRole存在SQL注入漏洞

xiachuchunmo 银遁安全团队 2024-11-30 00:02

需要EDU SRC邀请码的师傅可以私聊后台，免费赠送EDU SRC邀请码（邀请码管够）

漏洞简介

**九思OA系统是安装、实施、学习、操作、维护的OA系统，由北京九思协同软件有限公司开发。九思OA getUserStatusByRole存在SQL注入漏洞

资产测绘

app="九思软件-OA"

漏洞复现

注入测试

SQLMap测试

获取当前数据库名测试

Nuclei测试

圈子介绍

高
质量漏洞利用工具分享社区，每天至少更新一个0Day/Nday/1day及对应漏洞的批量利用工具，团队内部POC分享，星球不定时更新内外网攻防渗透技巧以及最新学习研究成果等。
如果师傅还是新手，内部的交流群有很多行业老师傅可以为你解答学习上的疑惑，内部分享的POC可以助你在Edu和补天等平台获得一定的排名。
如果师傅已经
是老手了，有一个高质量的LD库也能为你的工作提高极大的效率，实战或者攻防中有需要的Day我们也可以通过自己的途径帮你去寻找。

【圈子服务】

1，一年至少365+漏洞Poc及对应漏洞批量利用工具

2，Fofa永久高级会员

3，24HVV内推途径

4，Cmd5解密，各种漏洞利用工具及后续更新，渗透工具、文档资源分享

5，内部漏洞
库情报分享
（目前已有2000+
poc，会定期更新，包括部分未公开0/1day）

6，加入内部微信群，认识更多的行业朋友（群里有100+C**D通用证书师傅），遇到任何技术问题都可以进行快速提问、讨论交流；

圈子目前价格为129元
(交个朋友啦！)
，现在星球有近900+位师傅相信并选择加入我们，人数满1000
涨价至149，圈子每天都会更新内容。

圈子近期更新LD库

每篇文章均有详细且完整的手工WriteUp（跟其他只有POC，没有验证截图的不一样）

星球提供免费Fa
CD通用证书**一起愉快的刷分

免责声明