Goby 漏洞更新 |商混ERP系统 DictionaryEdit.aspx 页面存在SQL注入

最新推荐文章于 2024-04-15 05:08:48 发布
最新推荐文章于 2024-04-15 05:08:48 发布
阅读量375 收藏
点赞数 1
分类专栏: Goby 红队版 漏洞 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/130648301
版权
Goby 同时被 3 个专栏收录
180 篇文章 26 订阅
订阅专栏
漏洞
128 篇文章 2 订阅
订阅专栏
红队版
109 篇文章 2 订阅
订阅专栏

漏洞名称:商混ERP系统 DictionaryEdit.aspx 页面存在SQL注入

English Name:SQL injection exists on Lotus ERP DictionaryEdit.aspx pag

CVSS core: 8.5

影响资产数:616

漏洞描述:

杭州荷花软件有限公司开发的商混ERP系统。这套系统主要是处理建筑公司或者各项工程的搅拌站管理,内部含有销售模块、生产管理模块、实验室模块、人员管理等,该公司的商品混凝土ERP系统/Sys/DictionaryEdit.aspx处dict_key参数存在SQL报错注入漏洞,攻击者可通过该漏洞获取数据库权限。

漏洞影响:

攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

FOFA查询语句(点击直接查看结果):

title=“商混ERP系统”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
金和OA GetTreeDate.aspx SQL注入漏洞
xiaokp7的博客
09-22 513
金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展,提供专业oa,oa系统,oa办公系统,办公自动化软件,协同办公管理系统.支持oa办公自动化系统免费在线试用。金和OA GetTreeDate存在SQL注入漏洞
致翔OA漏洞学习——msglog.aspx SQL注入漏洞
记录并分享学习安全的知识点..
05-02 2928
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、概述 致翔OA msglog.aspx文件存在SQL注入漏洞,攻击者通过漏洞可获取敏感信息。注:注入参数为user。
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 代码块
goby-linux-x64-1.8.258.zip
06-11
goby红队专版2021
漏洞复现】畅捷通T+ InitServerInfo.aspx SQL注入漏洞
weixin_52204925的博客
03-13 795
畅捷通T+InitServerInfo.aspx接口处存在SQL注入漏洞 ,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终可能导致服务器失陷。
漏洞扫描】网络空间安全工具—Goby 快速入门使用指南
qq_47493625的博客
02-15 2452
Goby是一款基于网络空间测绘技术的新一代网络安全工具,它通过给目标网络建立完整的资产知识,进行网络安全事件应急与漏洞应急。Goby可提供最全面的资产识别,目前预置了超过10万种规则识别引擎,能够针对硬件设备和软件业务系统进行自动化识别和分类,全面的分析出网络中存在的业务系统。Goby可提供最快速对目标影响最小的扫描体验,通过非常轻量级地发包能够快速的分析出端口对应的协议信息。Goby也为安全带来了高效,Goby预置了最具攻击效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞
弹出层
快乐小泊的专栏
02-08 227
<!-- artDialog --> <link href="../Content/Js/ArtDialog/skins/blue.css" rel="stylesheet" /> <script src="../Content/Js/ArtDialog/artDialog.source.js" type="text/javascript"></script> <script
使用ViewData 字典
mx5721的专栏
11-22 2320
Controller 基类公开了一个ViewData 字典属性,用来从Controllers 传递额外的数据给Views 视图。 例如,为了实现将Edit 视图中Country 国家的文本框改为下拉列表框,我们更新Edit() Action 方法,传 入一个SelectList 对象(除了Dinner 对象外),该对象将作为Country 下拉列表框的Model 类。 // GET: /Di
致翔OA msglog.aspx SQL注入漏洞
尘埃的博客
10-27 800
致翔OA msglog.aspx文件存在SQL注入漏洞,攻击者通过漏洞可获取敏感信息。
ASP.NET跨站脚本攻击漏洞修补文件aspx版 v1.0
03-16
跨站脚本攻击漏洞修补文件aspx版,使用方法:1.将App_Code目录拷贝到web根目录   假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。   2.将Global.asax文件拷贝到web根目录   假如已经存在Global.asax文件,那直接复制指定代码到Global.asax看,具体代码请参阅压缩包内的使用说明。 运行环境:
漏洞扫描工具Goby的安装和使用(新一代网络安全技术)
黄乔国PHP
04-19 3691
自动探测当前网络空间存活的IP。
asp注入漏洞测试环境
02-28
学习环境。主要是从通过注入拿到网站后台的用户名和密码
基于Go实现的个人记账系统源码.zip
03-08
基于Go实现的个人记账系统源码.zip基于Go实现的个人记账系统源码.zip基于Go实现的个人记账系统源码.zip基于Go实现的个人记账系统源码.zip基于Go实现的个人记账系统源码.zip基于Go实现的个人记账系统源码.zip基于Go...
Go.Kryo内容管理系统源码.zip
06-18
Go.Kryo内容管理系统源码.zip
基于Go语言和Nuxt.js的bbs-go论坛系统设计源码
最新发布
04-18
本项目是基于Go语言和Nuxt.js的bbs-go论坛系统设计源码,包含725个文件,其中主要包含169个go源代码文件,142个png图片文件,129个svg图片文件等。系统采用了Go语言和Nuxt.js技术栈,实现了论坛系统的功能,包括用户...
Goby 漏洞发布泛微 e-cology XmlRpcServlet 接口文件读取漏洞
m0_46699477的博客
07-24 527
泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
商混ERP DictionaryEdit.aspx SQL注入
weixin_43567873的博客
03-26 108
商混ERP DictionaryEdit.aspx SQL注入
Goby 漏洞更新 铭飞 CMS list 接口 sqlWhere 参数 sql 注入漏洞
m0_46699477的博客
05-12 663
MCMS 是一套基于 java 开发的轻量级开源内容管理系统。 它简单、安全、开源且免费。 它可以运行在 Linux、Windows、MacOSX、Solaris 等平台上。 系统在 5.2.10 版本之前存在 sql 注入漏洞。 您可以利用此漏洞获取敏感信息
Goby 漏洞发布堡塔云 WAF get_site_status 路径 server_name 参数 SQL 注入漏洞_堡塔云waf fofa
2301_82243100的博客
04-15 346
堡塔云WAF是免费的WAF防火墙,首个支持ARM国产系统的WAF防火墙,有超高自由度的自定义拦截规则和可灵活配置各种限制访问,有效防CC攻击、防恶意采集、防刷接口等常见攻击和黑客渗透测试行为。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
用go语言写一个sql注入检查脚本
02-23
我不是很擅长写代码,...3. 接下来,你可以尝试编写一个简单的检查脚本,用来检测输入字符串中是否存在SQL注入攻击的危险;4. 最后,你可以利用Go语言的测试功能,对检查脚本进行测试和调试,以确保它能够正确地运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值