免責聲明

本公眾號所提供的文字和信息僅供學習和研究使用，請讀者自覺遵守法律法規，不得利用本公眾號所提供的信息從事任何違法活動。本公眾號不對讀者的任何違法行為承擔任何責任。如有侵權請聯系刪除。

漏洞說明：

金和網絡是專業信息化服務商,為城市監管部門提供了互聯網+監管解決方案,為企事業單位提供組織協同OA系統開發平臺,電子政務一體化平臺,智慧電商平臺等服務。金和OA C6 CheckPwd.aspx 接口處存在XXE漏洞，未授權的攻擊者可以通過此漏洞讀取服務器上敏感文件或探測內網服務信息，進一步利用可導致服務器失陷。

漏洞類型：

數據注入

漏洞特征：

FOFA:app="金和網絡-金和OA"

滲透過程：

通過漏洞特征在FOFA找到目標

?

通過xxepoc，查詢到dnslog有記錄

閱讀原文：原文鏈接