金蝶云星空反序列化命令执行漏洞

最新推荐文章于 2024-07-18 15:21:51 发布
最新推荐文章于 2024-07-18 15:21:51 发布
阅读量195 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33331244/article/details/132734830
版权

一、漏洞简介

金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务,帮助企业实现数字化营销新生态及管理重构等,提升企业数字化能力。该系统存在远程命令执行漏洞。

二、影响版本

  • 6.x版本:低于6.2.1012.4
  • 7.x版本:7.0.352.16 至 7.7.0.202111
  • 8.x版本:8.0.0.202205 至 8.1.0.20221110

三、资产测绘

  • hunterapp.name="Kingdee 金蝶云星空"
  • 登录页面
    在这里插入图片描述

四、漏洞复现

POST /Kingdee.BOS.ServiceFacade.ServicesStub.DevReportService.GetBusinessObjectData.common.kdsvc HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 1
了解本专栏 订阅专栏 解锁全文 超级会员免费看
xiaokp7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
金蝶云星空RCE漏洞复现
0xSec
06-21 9944
由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认8000端口),普通应用(默认80端口)也存在类似问题。
金蝶云星空企业版8.1发版说明
03-08
金蝶云星空企业版8.1是金蝶软件...总的来说,金蝶云星空企业版8.1的发布,不仅展示了金蝶在企业信息化领域的持续创新,也为企业提供了更加强大、全面的数字化转型工具,帮助企业在竞争激烈的市场环境中保持敏捷和高效。
【1day】复现金蝶OA 云星空 管理中心 kdsvc 远程命令执行漏洞
记录并分享学习安全的知识点..
08-18 546
金蝶OA 云星空 管理中心 kdsvc存在远超命令执行漏洞,攻击者可通过远程命令执行RCE漏洞读取、修改、删除系统和应用程序中的敏感数据,如个人资料、日志文件和文件系统中的文件等。
【成功复现】金蝶云星空反序列化远程代码执行漏洞
wuli1024的博客
01-25 1862
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。
某云的反序列漏洞及绕过思路分析
zkaqlaoniao的博客
12-28 149
方法用于处理参数的提取和验证(即payload位置这里重点关注下),对传入的参数进行判断,首先判断参数是否包含,如果包含则创建一个JSON数组;最近看到Kingdee星空反序列化漏洞各种各样的接口,本文将分析其漏洞原理及绕过思路,入门学习.NET程序的调试过程。调试-->窗口-->模块(如果搜不到说明dll文件还没加载进来,先触发使其加载后再搜索):创建ini文件禁用编译优化(创建完后需重启iis服务器);
金蝶云星空管理中心存在远程命令执行 附POC
nnn2188185的博客
07-19 635
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发金蝶云星空管理中心是金蝶软件(中国)有限公司基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。
2022金蝶云星空插件开发学习文档.zip
10-11
本指南主要聚焦于金蝶云星空的二次开发,特别是插件开发的学习,帮助开发者深入理解并掌握如何在金蝶云星空平台上构建个性化的业务功能。 一、插件开发基础 1. 插件定义:插件是金蝶云星空系统中的一个重要组成...
金蝶云星空字典表 SQL 数据库表 开发工具
08-12
方便做SQL视图或开发使用,运行K3CloudDataDictionaryexe.
金蝶云星空初级实施认证部分单选题
07-07
"金蝶云星空初级实施认证部分单选题知识点" 角色管理 1. 在角色管理中,子管理员用户不可以操作组织机构的创建和角色的创建,对自己创建的角色进行功能授权,在自己的授权范围内对另外子管理员设置授权范围。 资产...
金蝶云星空库存账龄分析表(SQL)
01-16
金蝶云星空库存账龄分析表(SQL)
漏洞复现-金蝶系列
aming小老弟
03-14 1044
金蝶软件是中国领先的企业管理软件及云服务提供商,拥有众多产品和解决方案,其中包括四个主要产品系列。这四个产品系列分别是:金蝶ERP(Enterprise Resource Planning): 金蝶ERP是金蝶软件的核心产品之一,是一套全面的企业管理软件解决方案,涵盖了财务、供应链管理、生产制造、人力资源管理等多个领域,为企业提供全面的业务管理功能。金蝶ERP产品线包括不同版本,以满足不同规模和行业的企业需求。
【1day】金蝶OA系统server_file 目录遍历漏洞学习
记录并分享学习安全的知识点..
05-02 3112
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 目录 警告 一、概述 二、影响版本 三、漏洞复现 验证poc如下: 一、概述 金蝶OA server_file 存在目录遍历漏洞,攻击者通过目录遍历可以获取服务器敏感信息。 二、影响版本 金蝶OA产品,影响版本不详 三、漏洞复现 验证poc如下: Windows服务器 appmonitor/protected/selector/server_file/files?folder=C://&...
java导致敏感信息泄漏的异常_金蝶AES系统Java web配置文件敏感信息泄露漏洞
weixin_42123296的博客
03-09 854
### 0x01 漏洞框架金蝶软件始创于1993年,是一家ERP、财务等企业管理软件厂商,拥有官网(kigndee.com)、友商网(youshang.com)、快递100(kuaidi100.com)、云之家(kdweibo.com)等互联网业务应用官方主页:www.kingdee.com客户案例:![](https://images.seebug.org/contribute/f1e376de...
【网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
等风来
07-15 177
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1070
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
网络安全-网络安全及其防护措施1
LS_Ai的博客
07-14 1027
网络安全是指保护网络系统及其数据免受未经授权的访问、使用、修改或破坏的过程。它包括对硬件、软件、数据和通信的全面保护,确保系统的机密性、完整性和可用性。网络安全涉及一系列的策略、技术和流程,用于保护网络和数据免受攻击、损失或未经授权的访问。机密性:确保信息只被授权人员访问和查看。完整性:保证信息的准确和完整,防止未经授权的修改。可用性:确保系统和数据在需要时可被合法用户访问。
网络安全-网络安全及其防护措施3
LS_Ai的博客
07-15 693
虚拟专用网络(VPN)是一种通过公用网络(如互联网)建立安全、加密连接的方法,使用户能够安全地访问内部网络资源。数据保密性:通过加密确保数据在传输过程中不被窃听。数据完整性:防止数据在传输过程中被篡改。远程访问:允许远程用户安全访问公司内部网络资源。隐私保护:隐藏用户的真实IP地址,保护隐私。绕过地理限制:访问受地理位置限制的内容。网络访问控制(NAC)是一种网络安全解决方案,用于管理和控制设备和用户对网络资源的访问权限。
网络安全-等级保护制度介绍
最新发布
weixin_56233402的博客
07-18 342
以等级保护为标准开展安全建设,可以让单位自身安全建设更加体系化,可以从物理、网络、主机、应用、数据多个方面成体系进行安全建设,再也不会头疼医脚脚痛医头,对本单位的安全建设有了整体的规划和思路。责任更清晰,完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外,如果没有进行等级保护测评意味着你没有达到国家要求,用户单位承担主要责任,网监部门会直接进行比较严厉的处罚。《信息系统安全保护等级定级指南》GB/T 22240-2008。《基本要求》《定级指南》《实施指南》《测评标准》
近源渗透简介
2301_80361487的博客
07-15 453
通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上报,由此证明企业安全防护存在漏洞
金蝶云星空反序列化rce
12-07
金蝶云星空是金蝶软件旗下的一款云服务,用于企业的财务管理和业务运营。反序列化(Deserialization)是一种将二进制数据转换为对象的过程,一般用于数据持久化或者数据传输。RCE(Remote Code Execution)是指攻击者能够在远程服务器上执行恶意代码的漏洞金蝶云星空反序列化RCE指的是在金蝶云星空的系统中存在着反序列化漏洞,攻击者可以利用此漏洞通过构造特定的恶意数据来执行任意的远程代码。这种漏洞一旦被攻击者利用,可能会导致系统被入侵、信息泄露、远程控制等严重安全问题。 要解决金蝶云星空反序列化RCE漏洞,可以考虑以下几点方案: 1. 及时更新和升级系统:金蝶软件应及时发布安全补丁,用户要及时升级系统到最新的安全版本,以修复已知的漏洞。 2. 验证和过滤用户输入:金蝶云星空的开发者应该对所有用户输入进行验证和过滤,防止恶意数据的输入。例如,采用输入验证、限制数据长度、对特殊字符进行转义等措施,防止攻击者利用反序列化漏洞。 3. 安全配置和权限控制:管理员应合理配置金蝶云星空安全设置,限制用户的访问权限,避免敏感数据和操作受到未经授权的访问。 4. 安全意识培训:金蝶云星空的用户和管理员应接受相关的安全意识培训,了解常见的网络攻击方式和防范措施,提高自身的安全防护意识。 总之,为了防范金蝶云星空反序列化RCE漏洞,软件厂商、开发者和用户都应共同努力,加强系统的安全性建设,及时修复漏洞,提高对安全问题的认识和防范能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaokp7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值