【产品&&漏洞简述】 红帆iOffice.net从最早满足医院行政办公需求（传统OA），到目前融合了卫生主管部门的管理规范和众多行业特色应用，是目前唯一定位于解决医院综合业务管理的软件，是最符合医院行业特点的医院综合业务管理平台，是成功案例最多的医院综合业务管理软件。 红帆iOffice.net wssRtSyn.asmx接口处存在SQL注入漏洞，未经身份认证的攻击者可通过该漏洞获取数据库敏感

0x01阅读须知         技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！ 0x02漏洞概述        红帆HFOffice是广州红帆科技

免责声明 文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责 漏洞描述 红帆OA 存在任意文件读取漏洞，攻击者可通过此漏洞上传webshell木马，获取服务器控制权限

漏洞描述 广州红帆科技深耕医疗行业20余年，专注医院行政管控，与企业微信、阿里钉钉全方位结合，推出web移动一体化办公解决方案——iOffice20（医微云）。提供行政办公、专业科室应用、决策辅助等信息化工具，采取平台化管理模式，取代医疗机构过往多系统分散式管理，实现医院内各科室之间的快速分工合作，并通过整合各类管理应用，让医疗机构管理者随时随地把控医院的运营管理情况，同时为行政管理人员提供便捷

之前，我们甚至排不到前5页（每页自然搜索10），这说明原为谷歌中国提供搜索审查的单位，人为因素干涉搜索排位，某某OA、某某协同软件，以不公平的手段排名靠前，并排挤竞争对手。 谷歌，取消这种搜索审查，是对用户负责，支持～ http://www.google.cn/search?hl=zh-CN&newwindow=1&rlz=1T4GGLL_zh-CNCN300CN300&q=oa&s