1.弱口令,这个OA 默认admin/admin 或者 admin/admin123456789
2.任意文件下载
/db/lmtof.mdb
/youbian/YBQH.MDB
/bbsnew/db/bbs.mdb
/vote/moondowner_poll.mdb
/crm/data/data.mdb
/crm/database/db.mdb
例如在http://oa.hbzyy.org//db/lmtof.mdb 中
3.SQL注入
在/shownotice.asp?id= 处存在SQL注入
用’ 和and 1=1 and 1=11 判断。
4.webshell
OA系统在
用burp修改抓包后可getshell
OA企业智能办公自动化系统边缘特别版
http://www.xysyxx.com.cn/oa/default.asp
http://oa.hbzyy.org/default.asp漏洞修复办法:
1.修改弱口令
2.数据库文件设置权限
3.敏感字符过滤