海翔ERP getylist_login.do接口存在sql注入漏洞

最新推荐文章于 2024-05-20 10:00:15 发布
最新推荐文章于 2024-05-20 10:00:15 发布
阅读量89 收藏
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库 网络安全 网络 安全性测试 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/136590015
版权

@[toc]

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 海翔ERP 简介

微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

海翔ERP

2.漏洞描述

海翔ERP为企业提供 营销 + 财务 + 仓储 + 物流 整体解决方案。 云ERP致力于在互联网背景下,为商贸公司提供企业级整体应用解决方案。云ERP更注重提供丰富的移动端应用,推动企业在互联网时代的经营升级。云ERP采用先进的web技术构架,为企业提供稳定、高效的云saas服务,支持pc、手机、平板、pda等多终端访问。产品版本涵盖 批发、连锁、零售、单体 等多种业务模式,充分满足企业目前以及未来的发展需要。,海翔ERP getylist_login.do接口存在sql注入漏洞

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

海翔ERP

海翔ERP getylist_login.do接口存在sql注入漏洞

4.fofa查询语句

body="checkMacWaitingSecond"

5.漏洞复现

漏洞链接:http://127.0.0.1/getylist_login.do

漏洞数据包:

POST /getylist_l
了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现】成都海翔软件有限公司海翔药业云平台存在sql注入
失心少年
12-12 490
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!成都海翔软件有限公司海翔药业云平台存在sql注入,攻击者可利用此漏洞查询数据、获取系统信息,造成数据及其它安全风险。sqlmap验证,隐患参数accountname。搜索账套,随便输入值,BP抓包如下。
海翔药业:2021年半年度报告.rar
09-29
海翔药业:2021年半年度报告.rar
海翔云ERP getylist_login 接口SQL注入
weixin_43567873的博客
03-10 36
海翔云ERP getylist_login 接口SQL注入
海翔药业:首次公开发行股票招股说明书.PDF
05-15
海翔药业:首次公开发行股票招股说明书.PDF
盐城海翔EPRO系统介绍PPT学习教案.pptx
10-04
盐城海翔EPRO系统介绍PPT学习教案.pptx
海翔ERP getylist_login.do SQL注入漏洞
qq_39573664的博客
12-25 458
海翔ERP在getylist_login.do接口的accountname存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
海翔云平台 getylist_login.do SQL 注入漏洞复现
0xSec
11-28 1086
海翔云平台getylist_login.do接口存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库权限,除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现】海翔云ERP getylist_login 接口SQL注入漏洞
weixin_52204925的博客
03-07 622
海翔云ERP getylist_login 接口存在SQL注入漏洞,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终导致服务器失陷。
Goby 漏洞更新 | 海翔云平台 getylist_login.do SQL 注入漏洞
m0_46699477的博客
05-12 169
seaflysoft 云平台一站式整体解决方案提供商,业务涵盖批发、连锁、零售行业ERP解决方案、wms仓储解决方案、电子商务、外勤、移动端(PDA、APP、小程序)解决方案。 系统getylist_login.do存在SQL注入漏洞,攻击者可通过该漏洞获取数据库权限
海翔药业:2021年半年度报告.PDF
08-31
海翔药业:2021年半年度报告.PDF
海翔APP设计·UI设计作品.pdf
08-26
海翔APP设计·UI设计作品.pdf
海翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-18 18
海翔ERP getylist_login.do SQL注入漏洞(含批量验证poc)
数据库SQL编写规范-SQL书写规范整理(SQL语句书写规范全解-Word原件)
xx_123321456的博客
05-14 304
​​​​​​工作安排任务书,可行性分析报告,立项申请审批表,产品需求规格说明书,需求调研计划,用户需求调查单,用户需求说明书,概要设计说明书,技术解决方案,数据库设计说明书,详细设计说明书,单元测试报告,总体测试计划,单元测试计划,产品集成计划,集成测试报告,集成测试计划,系统测试报告,产品交接验收单,验收报告,验收测试报告,压力测试报告,项目总结报告,立项结项审批表,成本估算表,项目计划,项目周报月报,风险管理计划,质量保证措施,项目甘特图,项目管理工具,操作手册,接口设计文档,软件实施方案,运维方案,安
父子级分类统计分类下数量sql
pscool的博客
05-19 64
【代码】父子级分类统计分类下数量sql
sql去除表中某个字段的空格
最新发布
HelloWorld的专栏
05-20 52
比如表中名字字段,名字之间有空格,需要把空格去除,应该如何写SQL语句实现?函数来去除字符串两端的空格,如果需要去除字段中的所有空格,可以使用。以下是一个示例,假设我们有一个名为。的表,并且我们想要去除。在SQL中,可以使用。
小白也会SQL:大模型改变交互方式(中)
鲁班模锤
05-17 744
在人工智能与自然语言处理交汇点,有一种技术正悄然改变与数据交互的方式——将日常语言转化为精准SQL查询。这一“text-to-sql”转换任务,使非专业人士也能轻松驾驭复杂的数据库操作,极大地拓宽了数据应用的边界。
使用DBeaver的第2天-使用sql导入数据
2301_78094435的博客
05-14 247
但是如果你执行失败了,多半可能是因为本地没有部署mysql,记住只有本地有mysql才可以执行脚本,否则你只能粘贴脚本,到sql控制台执行了。特别注意,较长的脚本粘贴的话一定会闪退,所以只有安装mysql在本地才能解决这个问题;首先位置一定要放在库上(实例),放在表上可不好使用哦。使用sql导入数据这块我会仔细的说一下。然后点击工具-再点击执行脚本。
SQL的心得
weixin_64842400的博客
05-11 616
接着,系统按照 GROUP BY 子句中的指定字段分组,并对每个分组进行计算,生成虚拟的分组结果表。执行顺序 :from > on > where > group by > having > select > distinct > order by > top。4、聚合函数本质:对指定的列进行聚合,如果我们用了group by,我们可以对每个分组应用内聚合函数。在分组内部,聚合函数会自动处理所有重复的行。具体来说,在执行 SELECT 子句时,系统先计算 SELECT 中的列表达式和函数等,然后。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值