OA综合利用工具 | OA-Exptool

0x01 工具介绍OA综合利用工具，集合将近20款OA漏洞批量扫描，本工具无毒无后门，因为含有冰蝎木马文件原因请下载时关闭防护软件。0x02 安装与使用1、安装所需库文件pip install requirements.txt

作者：西瓜麻辣烫项目地址：https://github.com/LittleBear4/OA-EXPTOOL用法第一次使用脚本请运行pip3 install -r requirements.txt然后使用show查看命令合集主要针对的是OA产品的漏洞检测产生的攻击行为和后果与本人无关本工具无毒无后门，因为含有冰蝎木马文件原因请下载时关闭防护软件存在问题请联系我本人第一款工具，因为有很多不完善的地方

也可以输入多个域名、C段IP等，具体案例见下文。功能齐全的Web指纹识别和分享平台，内置了一万多条互联网开源的指纹信息。

首先恭喜你发现了宝藏。本项目集成了全网优秀的攻防武器项目，包含信息收集工具（自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具....etc...），漏洞利用工具（各大CMS利用工具、中间件利用工具等项目），内网渗透工具、应急响应工具、甲方运维工具、等其他安全资料项目，供攻防双方使用。

随着网络空间博弈发展和国际局势的加剧，组织性复杂、计划性高效和针对性明确的网络攻击活动更趋常态化，高级持续性威胁（APT）攻击已成为网络空间突出风险源。APT 的政治化、军事化、武器化、组织化、隐匿化趋势日益明显，与政府部门进一步深度绑定，“雇佣兵”性质更为凸显，零日漏洞、供应链入侵等高水平渗透手段的利用呈现常态化的特征。在大国博弈的背景下，APT 攻防较量更趋复杂，针对APT 事件的调查与响应呈

无论在人际交往还是在数字空间中，身份认证和鉴权都是开展业务应用服务的前提和入口，也是访问控制中最基础的一环，安全可信的数字身份成为各行业数字化转型过程中，最普遍、最基础的刚性需求。

发现漏洞七月正值暑假，闲暇时光在百度上inurl一番，找到了一个古老的企业OA系统IP站点，没有域名，扫过一眼，.NET流行时代的普遍漏洞浮现在脑海里——SQL注入在用户名里输入admin’，不负期望地报了错很明显，前后端都没有对用户的输入进行过滤，直接将’带入了SQL语句进行。初步判断，此OA系统存在SQL注入漏洞。漏洞验证打开BurpSuite，设置好浏览器代理，抓下HTTP请求，一气呵成。