免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。如有侵权请联系删除。

漏洞说明：

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。金和OA C6 CheckPwd.aspx 接口处存在XXE漏洞，未授权的攻击者可以通过此漏洞读取服务器上敏感文件或探测内网服务信息，进一步利用可导致服务器失陷。

漏洞类型：

数据注入

漏洞特征：

FOFA:app="金和网络-金和OA"

渗透过程：

通过漏洞特征在FOFA找到目标

​

通过xxepoc，查询到dnslog有记录

阅读原文：原文链接