用友时空KSOA SQL注入漏洞[2023-HW]

已于 2023-08-16 11:50:51 修改
阅读量1.3k 收藏
点赞数
分类专栏: 2023年HW专题 网络安全漏洞复现 # SQL注入实战与POC 文章标签: sql 数据库 网络安全 python
于 2023-08-16 02:14:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/holyxp/article/details/132310244
版权

用友时空KSOA SQL注入漏洞

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、 产品简介

用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业最前沿的I需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。

二、 漏洞分析

用友时空KSOA /servlet/com.sksoft.v8.trans.servlet.TaskRequestServlet接口和/servlet/imagefield接口处存在sql注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。

三、 影响范围

影响版本:用友时空 KSOA v9.0

四、 复现环境

FOFA语法ÿ

了解本专栏 订阅专栏 解锁全文 超级会员免费看
用友时空KSOA SQL注入漏洞复现
0xSec
08-13 2785
用友时空KSOA /servlet/com.sksoft.v8.trans.servlet.TaskRequestServlet接口和/servlet/imagefield接口存在sql注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
用友时空 KSOA 多处SQL注入漏洞复现
0xSec
12-13 1726
用友时空 KSOA 系统 PayBill、QueryService、linkadd.jsp等接口存在 sql 注入漏洞,攻击者可通过这些漏洞获取数据库权限,启用xp_cmdshell 可执行任意命令获取服务器权限。
用友时空KSOA 多处 SQL注入漏洞复现
最新发布
0xSec
07-31 923
用友时空KSOA系统 PrintZP.jsp、PrintZPFB.jsp、PrintZPYG.jsp、PrintZPZP.jsp、fillKP.jsp等多处接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
用友时空KSOA、CCERP sql注入漏洞复现
09-25 506
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业最前沿的I需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。
用友时空KSOA、CCERP sql注入漏洞
qq_36334672的博客
01-26 391
FOFA:app=“用友-时空KSOA用友时空 CCERP V8.3。用友时空 KSOA V9.0。出现如下图所示:代表存在漏洞
用友-时空KSOA QueryService sql注入漏洞复现_笔记
m0_50488257的博客
04-26 482
用友-时空KSOASQL SERVER ;sql 注入漏洞复现;
漏洞复现】用友时空-KSOA-SQL注入-linkadd
知黑而守白
07-05 229
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业前沿的IT需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。用友时空KSOA linkadd接口存在 SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友时空KSOA PreviewKPQT SQL注入漏洞复现
0xSec
07-25 3458
用友时空KSOA PreviewKPQT.jsp接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
用友时空KSOA存在sql注入漏洞 附POC
nnn2188185的博客
09-24 676
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,该产品common/dept.jsp接口存在SQL注入漏洞
用友时空KSOA V9.0文件上传漏洞复现
06-21 1480
用友时空KSOA平台ImageUpload处存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
用友时空密码查看器
02-17
用友时空KSOA密码查看器
小龙web漏洞扫描工具
12-06
小龙web漏洞扫描工具,可批量扫描,绝对无毒,拒绝黑软
KSOA供应链管理系统
05-26
用友时空 KSOA供应链管理系统
时空密码查看器.rar
12-15
用友cdm,时空ksoa 密码查看器,由密文得到明文,输入密文可以查看明文,输入密文可以查看密码,就是这样简单
销售供应链管理系统(论文+源代码)
04-22
dsfwetgnyhkyjyiytgfhgfhb
用友时空CCERP/KSOA/CDM数据字典自生成脚本
az44yao的专栏
03-21 2618
--自生成V7/CCERP/KSOA/CDM系列的数据字典 SELECT b.tbname 英文表名,b.chnname 中文表名,a.name as 英文字段名, isnull(c.chnname,'') as 中文字段名, d.name AS 字段类型,case when a.xtype in (239,231,175,167) then a.length else 0 end as 长度
用友时空KSOAV9.0文件上传漏洞复现
weixin_53884648的博客
05-22 1404
用友时空文件上传漏洞复现
用友时空KSOA软件前台文件上传漏洞
holyxp的博客
08-01 803
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业最前沿的I需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。用友时空KSOA平台ImageUpload处存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
用友时空CDM与KSOA版本的关系
az44yao的专栏
12-15 1836
CDM是用友收购时空后推出的新版本,是在KSOA基础上做的简化版本,且增加了与用友财务软件的接口。 CDM版本的目标是提升规模化交付能力,所以更侧重于采取‘参数配置’的方式去满足用户的不同需求,相比KSOA版本,参数配置的能力使得实施的时候更加简化,但在适应更复杂需求方面则比较薄弱。不过凡事有利有弊,之前时空软件比较让人称道的‘二次开发’,由于对开发人员要求高,容易导致项目实施周期拖延,导致项目...
用友时空KSOA密码查看器实用工具发布
用友时空KSOA用友公司推出的一款面向中大型企业的ERP软件产品,用于企业内部资源规划和管理。 ### 2. KSOA系统概念 KSOA(Key Success Oriented Application)是一种以关键成功因素为导向的应用系统,它强调企业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全攻防赵小龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值