用友移动管理系统存在任意文件上传漏洞 附POC

最新推荐文章于 2024-06-19 04:08:48 发布
最新推荐文章于 2024-06-19 04:08:48 发布
阅读量523 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: web安全 安全性测试 网络安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/133614336
版权
本文详细介绍了用友移动管理系统存在的任意文件上传漏洞,包括漏洞描述、影响版本、复现步骤以及POC。攻击者可通过上传恶意文件执行任意命令。建议受影响的企业升级到最新版本以修复此安全问题。
摘要由CSDN通过智能技术生成

文章目录

用友移动管理系统存在任意文件上传漏洞 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 用友移动管理系统简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。

2.漏洞描述

用友移动系统管理旧版本uploadApk接口存在任意文件上传,攻击者可在无需登录的情况下上传恶意文件,执行任意命令。

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

用友移动系统管理旧版本
用友移动管理系统存在任意文件上传漏洞 附POC

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
专栏目录
订阅专栏
用友移动管理系统 getApp SQL注入漏洞复现
0xSec
01-27 360
用友移动管理系统 getApp功能点未对用户的输入进行过滤,导致存在SQL注入漏洞,利用此漏洞攻击者可以获取数据库敏感信息及凭证,使系统处于极度不安全状态。
用友移动管理系统任意文件上传漏洞
CommputerMac的博客
09-29 448
然后访问 http://ip:port/maupload/apk/hacker.jsp 返回如下。批量检测脚本 关注微信公众号 网络安全透视镜 回复 20230929 获取。用友移动管理系统 uploadApk.do 文件存在任意文件上传。将上传内容换成木马即可,例如使用冰蝎马连接。返回如下,则文件上传成功。
漏洞复现】泛微OA E-Mobile 移动管理平台 lang2sql 任意文件上传漏洞
最新发布
凝聚力安全团队
06-19 1880
泛微OA E-Mobile 移动管理平台 lang2sql 接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件从而控制整个服务器。
用友移动管理系统 任意文件上传漏洞[2023-HW]
holyxp的博客
08-16 601
用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。用友移动管理系统 uploadApk.do 接口存在任意文件上传漏洞,未经授权攻击者通过漏洞上传任意文件,最终可以获取服务器权限。
漏洞复现】泛微e-Mobile 移动管理平台文件上传漏洞
qq_34780861的博客
04-25 2437
泛微e-Mobile移动管理平台是一款由泛微软件开发的企业移动办公解决方案。它提供了一系列的功能和工具,使企业员工能够通过移动设备随时随地地进行办公和协作。泛微e-Mobile 移动管理平台存在任意文件上传漏洞
泛微移动管理平台E-mobile lang2sql接口任意文件上传漏洞
CommputerMac的博客
11-07 5062
e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。泛微e-mobile,由高端OA泛微专业研发,是业内领先的移动OA系统,提供移动审批,移动考勤,移动报表,企业微信等丰富办公应用,支持多种平台运行,灵活易用安全性高。
用友移动管理系统 任意文件上传漏洞复现
0xSec
08-12 2336
用友移动管理系统 uploadApk.do 接口存在任意文件上传漏洞,未经授权攻击者通过漏洞上传任意文件,最终可以获取服务器权限。
用友移动管理系统 DownloadServlet 任意文件读取漏洞复现
0xSec
01-27 351
用友移动管理系统 DownloadServlet 接口处任意文件读取漏洞,未经身份验证的攻击者可以利用此漏洞读取内部系统敏感文件,使系统处于极不安全的状态。
用友移动管理系统 多处文件上传漏洞复现
0xSec
01-10 681
用友移动管理系统 /maportal/appmanager/uploadIcon.do、/mobsm/common/upload等接口存在任意文件上传漏洞,未经授权攻击者通过漏洞上传任意文件,最终可以获取服务器权限。
用友 UFIDA NC portal/file 任意文件读取漏洞(含批量验证poc
weixin_43567873的博客
04-18 190
用友 UFIDA NC portal/file 任意文件读取漏洞(含批量验证poc
用友时空KSOA V9.0文件上传漏洞复现
06-21 1326
用友时空KSOA平台ImageUpload处存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
用友时空KSOAV9.0文件上传漏洞复现
weixin_53884648的博客
05-22 1280
用友时空文件上传漏洞复现
用友移动管理系统 任意文件上传
m0_46317063的博客
08-21 294
用友移动管理系统 任意文件上传漏洞[2023-HW 0DAY]
漏洞标题: 中国移动mas2.0平台系统漏洞
fengling132的专栏
05-10 2087
漏洞详情 披露状态: 2012-03-26: 细节已通知厂商并且等待厂商处理中 2012-03-26: 厂商已经确认,细节仅向厂商公开 2012-04-05: 细节向核心白帽子及相关领域专家公开 2012-04-15: 细节向普通白帽子公开 2012-04-25: 细节向见习白帽子公开 2012-05-10: 细节向公众公开 简要描述: MAS是中国移动的短信
漏洞复现 || 某友文件上传
失心少年
07-10 251
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!某友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业前沿的IT需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话。2.如上传Webshell地址访问如下。
【1day】用友时空KSOA平台 任意文件上传漏洞学习
记录并分享学习安全的知识点..
09-29 382
用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台,旨在提高企业管理效率和协作效率。该平台提供了多种功能模块,包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台存在任意文件上传漏洞,攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。
用友NC-Cloud uploadChunk 任意文件上传漏洞
CommputerMac的博客
10-17 1040
用友 NC Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。为客户提供面向大型企业集团、制造业、消费品、建筑、房地产、金融保险等14个行业大类,68个细分行业,涵盖数字营销、智能制造、财务共享、数字采购等18大解决方案,帮助企业全面落地数字化。uploadChunk文件存在任意文件上传漏洞,攻击者通过此漏洞可实现上传木马文件,控制服务器。
用友U8+ CRM任意文件上传任意文件读取 实战
m0_43397796的博客
02-24 2156
用友CRM系统,使用量非常广,这里存在任意文件读取漏洞任意文件上传漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值