Goby 漏洞更新 | 海翔云平台 getylist_login.do SQL 注入漏洞

最新推荐文章于 2024-03-09 20:13:49 发布
最新推荐文章于 2024-03-09 20:13:49 发布
阅读量175 收藏
点赞数
分类专栏: Goby 红队版 漏洞 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/130406332
版权
Goby 同时被 3 个专栏收录
182 篇文章 26 订阅
订阅专栏
漏洞
130 篇文章 2 订阅
订阅专栏
红队版
111 篇文章 2 订阅
订阅专栏

漏洞名称:海翔云平台 getylist_login.do SQL 注入漏洞

English Name:seaflysoft ERP getylist_login.do SQL Injection

CVSS core: 8.0

影响资产数:773

漏洞描述:

seaflysoft 云平台一站式整体解决方案提供商,业务涵盖批发、连锁、零售行业ERP解决方案、wms仓储解决方案、电子商务、外勤、移动端(PDA、APP、小程序)解决方案。 系统getylist_login.do存在SQL注入漏洞,攻击者可通过该漏洞获取数据库权限

漏洞影响:

除了利用SQL注入漏洞获取数据库中的信息(如管理员后台密码、站点用户个人信息)外,攻击者甚至可以在高权限的情况下向服务器写入木马 进一步获取服务器系统权限。

FOFA查询语句(点击直接查看结果):

body=“checkMacWaitingSecond”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
翔云ERP getylist_login 接口SQL注入
weixin_43567873的博客
03-10 40
翔云ERP getylist_login 接口SQL注入
翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
最新发布
weixin_43567873的博客
04-18 26
翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
Vulnerabilities in password-based login:基于密码登录的漏洞
Zeker62的博客
08-19 525
对于采用基于密码登录过程的网站,用户要么自己注册一个帐户,要么由管理员分配一个帐户。该帐户与一个唯一的用户名和一个秘密密码相关联,用户在登录表单中输入这些信息以进行身份​​验证。 在这种情况下,他们知道秘密密码这一事实就足以证明用户的身份。因此,如果攻击者能够获取或猜测其他用户的登录凭据,则网站的安全性将受到损害。 这可以通过多种方式实现,我们将在下面探讨。 暴力攻击 暴力攻击是指攻击者使用反复试验的系统来尝试猜测有效的用户凭据。这些攻击通常使用用户名和密码的词表自动进行。自动化此过程,尤其是使用专用工具,
五大著名的免费SQL注入漏洞扫描工具|Findnet.com.cn
徐小西的专栏
01-19 2295
 大量的现代企业采用Web应用程序与其客户无缝地连接到一起,但由于不正确的编码,造成了许多安全问题。Web应用程序中的漏洞可使黑客获取对敏感信息(如个人数据、登录信息等)的直接访问。Web应用程序准许访问者提交数据,并可通过互联网从数据库中检索数据。而数据库是多数Web应用程序的心脏。数据库维持着Web应用程序将特定内容交给访问者的数据,Web应用程序在将信息交给客户、供应商时,也从数据库
web渗透测试----5、暴力破解漏洞
七天
12-17 1078
文章目录一、前言二、DVWA-暴力破解三、验证码暴力破解 一、前言 暴力破解:攻击者可以利用字典不断进行枚举,破解用户的账号名和密码。 常用的暴力破解工具:burpsuite、hydra等。 二、DVWA-暴力破解 以DVWA的brute force为例** 1、Low 代码如下: <?php if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get pas
网络攻防——Goby+AWVS漏洞扫描
weixin_46560512的博客
03-10 7996
Goby+AWVS漏洞扫描1.什么是AWVS2.AWVS的靶场环境搭建2.靶场搭建3.利用AWVS扫描靶场2.近期使用kali遇到的坑 1.什么是AWVS     AWVS(全称Acunetix Web Vulnerability Scanner)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,如跨站脚本、sql 注入等。给出学习相关资源网盘链接(2022版免激活版AWVS安装包,包含相关教程): 链接:https://pan.baidu.com/s/1t7oHK4_9j6t
翔ERP getylist_login.do SQL注入漏洞
qq_39573664的博客
12-25 474
翔ERP在getylist_login.do接口的accountname存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
翔ERP getylist_login.do接口存在sql注入漏洞
nnn2188185的博客
03-09 97
翔ERP getylist_login.do接口存在sql注入漏洞 附POC软件
翔APP设计·UI设计作品.pdf
08-26
翔APP设计·UI设计作品.pdf
盐城翔EPRO系统介绍PPT学习教案.pptx
10-04
盐城翔EPRO系统介绍PPT学习教案.pptx
翔药业:2021年半年度报告.rar
09-29
翔药业:2021年半年度报告.rar
翔药业:2021年半年度报告.PDF
08-31
翔药业:2021年半年度报告.PDF
翔药业:2019年半年度报告.PDF
05-31
翔药业:2019年半年度报告.PDF
还在手动收集资产?你比别人慢了一步
热门推荐
m0_46699477的博客
11-19 1万+
前言: 之前在进行 Web 打点的资产收集时,总是手动的收集父子公司、手动或半自动化收集根域、子域、C 段,当目标资产较多或多个目标时往往非常繁琐。 值得高兴的是,Goby 内测版发布了一个新功能,叫 ”IP 库“,可以自动化进行资产收集的各个环节,当然不仅限于上述几个方面,还包括 HTTS 证书、图标、关键字等资产收集方式,进一步详细查看官方发布的演示视频,发现其功能涵盖了目前资产收集常见的各个方面,集成了此功能后,前渗透 Web 攻击中的资产收集、指纹识别、漏洞检测、口令检测 Goby 都已涵盖,是一.
来了!Goby一年一度的红队专版正式发布!!
m0_46699477的博客
03-19 1万+
某大型活动临近,盆圈开始热闹起来,各种抢人大赛以及群集结号声!Goby今年有什么动作呢?→继续支持攻击队——红队,也称蓝军。 为何有且仅有红队专版? 如果对方是一位绝世武功高手且拥有绝世宝剑,你肯定没有信心与他一战,但如果给你配一把枪呢?哪怕是一把小米加步枪? 自Goby去年初打通渗透前中后流程并提出“实战”口号后,收到很多表哥/表姐的反馈,TOP10如下: 漏洞可以多一点吗?最好都是可以一键getshell的那种,且极少的漏报及误报 可以开放漏洞框架,让我们录漏洞吗? 新爆的漏洞可以更新快一点.
2023.3.17 | Goby红队版可利用漏洞更新
m0_46699477的博客
03-17 8286
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞、代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
插件分享 | Vulfocus 快速启动靶场环境一键打靶
m0_46699477的博客
12-01 6265
作为安全小白的插件作者,曾经最困惑的就是,拿着自带强大靶标漏洞库的 Goby 去扫描,却总是很难找到漏洞的影子,这让起步去学习安全知识这件事变得困难,后来了解到靶场工具,开始使用 Vulfocus,一个想法随之产生:将 Vulfocus 通过插件的方式集成到 Goby,更方便快捷的一键启动漏洞环境一键扫描漏洞。于是现在的这款插件应运而生~
Goby自定义漏洞之EXP
m0_46699477的博客
11-06 5742
前言:自定义漏洞配合EXP,提高漏洞的利用速度,简直是爽的飞起!自从HVV的时候Goby发布HVV专版,羡慕死了,就是太菜没傍上红方大佬的腿。虽然最终用上了HVV专版,但是一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编写PoC或者是EXP。因为Goby没有开源,所以也能编写一些基于http命令执行的漏洞!特别感谢Goby的大佬——帅帅的涛哥支持 0x001 最终效果 直接获取明文密码,点击验证。 0x001 编写流程 我在《自定义PoC对接插件》一文中已经介绍过了如何编写自定义P..
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
m0_46699477的博客
04-01 5397
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值