用友时空KSOA存在sql注入漏洞 附POC

已于 2023-09-25 12:36:51 修改
阅读量555 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库 web安全 安全性测试 网络安全
于 2023-09-24 21:13:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/133252349
版权
本文介绍了用友时空KSOA产品存在的SQL注入漏洞,详细说明了漏洞描述、影响版本、复现方法以及提供的POC。强调了安全整改建议和查询语句,提醒读者勿用于非法目的。
摘要由CSDN通过智能技术生成

文章目录

用友时空KSOA存在sql注入漏洞 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 用友时空KSOA简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业前沿的IT需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。

2.漏洞描述

用友时空KSOA是建立在SOA理念指导下研发的新一代产品,该产品common/dept.jsp接口存在SQL注入漏洞。

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

用友时空 KSOA v9.0

了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞复现】用友时空-KSOA-SQL注入-QueryService
知黑而守白
04-02 125
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业前沿的IT需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。用友时空KSOA QueryService 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
用友时空KSOA SQL注入漏洞复现
0xSec
08-13 2640
用友时空KSOA /servlet/com.sksoft.v8.trans.servlet.TaskRequestServlet接口和/servlet/imagefield接口处存在sql注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
用友-时空KSOA QueryService sql注入漏洞复现_笔记
m0_50488257的博客
04-26 380
用友-时空KSOASQL SERVER ;sql 注入;漏洞复现;
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 950
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
时空智友企业信息管理系统 SQL注入漏洞复现
09-19 1262
时空智友企业流程化管控系统是一款企业信息管理软件,致力于协助大健康企业构建内部信息化,解决GSP管理、多组织管理、财务管理、税控管理、线上线下一体化等问题。该系统可以帮助企业实现流程化管控,提高工作效率和管理水平。
注入之漏洞
zkaqlaoniao的博客
10-16 205
KSOA可以通过不同产品的组合,帮助流通领域企业实现“交易自动化、管理信息化、决策智能化、商务电子化”的目标,满足企业决策层、管理层、操作层不用应用者的需求。用友时空 KSOA 软件存在存在sql注入漏洞,可利用该漏洞获取系统敏感信息。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。解密81dc9bdb52d04dc20036dbd8313ed055(MD5值)POC内的1234可自定义内容。
用友时空KSOA 存在反射XSS
最新发布
2301_77012231的博客
08-02 265
用友时空KSOA 存在反射型跨站脚本攻击(XSS)漏洞,通过向用户提供恶意链接或注入恶意代码来利用。当用户点击这些链接或访问包含恶意代码的页面时,攻击者可以在用户的浏览器中执行恶意脚本,从而窃取用户信息、会话令牌等敏感数据或对用户进行其他有害操作。及时修复这种漏洞非常重要,以确保系统和用户数据的安全。FOFA:app="用友-时空KSOA"对系统做输入验证和过滤。
用友时空KSOA PreviewKPQT SQL注入漏洞复现
0xSec
07-25 3287
用友时空KSOA PreviewKPQT.jsp接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
用友时空KSOA 多处 SQL注入漏洞复现
0xSec
07-31 688
用友时空KSOA系统 PrintZP.jsp、PrintZPFB.jsp、PrintZPYG.jsp、PrintZPZP.jsp、fillKP.jsp等多处接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
用友时空 KSOA 多处SQL注入漏洞复现
0xSec
12-13 1541
用友时空 KSOA 系统 PayBill、QueryService、linkadd.jsp等接口处存在 sql 注入漏洞,攻击者可通过这些漏洞获取数据库权限,启用xp_cmdshell 可执行任意命令获取服务器权限。
KSOA供应链管理系统
05-26
用友时空 KSOA供应链管理系统
用友时空KSOA、CCERP sql注入漏洞复现
09-25 449
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业最前沿的I需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。
用友-时空KSOA QueryService sql注入漏洞
weixin_43567873的博客
03-05 695
用友-时空KSOA QueryService sql注入漏洞
用友时空KSOA SQL注入漏洞[2023-HW]
holyxp的博客
08-16 1197
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业最前沿的I需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。
漏洞复现】Rejetto HTTP File Server 远程代码执行漏洞 (CVE-2024-23692)
alert['Hello World']
06-23 735
Rejetto HTTP File Server 存在远程代码执行漏洞,攻击者可通过构造特殊请求执行系统命令。Rejetto HTTP File Server(Rejetto HFS)是Rejetto公司的一款 HTTP 文件服务器。Rejetto HTTP File Server 2.3m及之前版本存在安全漏洞,该漏洞源于存在模板注入漏洞,允许远程未经身份验证的攻击者通过发送特制的HTTP请求在受影响的系统上执行任意命令。
用友时空KSOA V9.0文件上传漏洞复现
06-21 1377
用友时空KSOA平台ImageUpload处存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
【1day】用友时空KSOA平台 任意文件上传漏洞学习
记录并分享学习安全的知识点..
09-29 401
用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台,旨在提高企业管理效率和协作效率。该平台提供了多种功能模块,包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台存在任意文件上传漏洞,攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。
用友时空CCERP/KSOA/CDM数据字典自生成脚本
az44yao的专栏
03-21 2482
--自生成V7/CCERP/KSOA/CDM系列的数据字典 SELECT b.tbname 英文表名,b.chnname 中文表名,a.name as 英文字段名, isnull(c.chnname,'') as 中文字段名, d.name AS 字段类型,case when a.xtype in (239,231,175,167) then a.length else 0 end as 长度
用友时空KSOAV9.0文件上传漏洞复现
weixin_53884648的博客
05-22 1329
用友时空文件上传漏洞复现
用友时空KSOA9.0技术手册:多架构对比与部署指南
用友时空信息融通平台KSOA9.0技术手册》是由用友软件股份有限公司于2010年1月发布的一份全面指南,专为理解和部署KSOA9.0系统而设计。该手册主要分为五个部分,详尽地介绍了产品的架构设计、安装步骤、系统控制、...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值