【漏洞复现】用友畅捷通TPlus InitServerInfo存在SQL注入漏洞

已于 2024-04-07 09:47:38 修改
阅读量302 收藏 2
点赞数 2
分类专栏: 用友 漏洞复现 文章标签: 安全 web安全 网络安全
于 2024-04-07 09:07:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34780861/article/details/137449158
版权

0x01 阅读须知

“如棠安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!”

Nx02 漏洞描述

       畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。用友畅捷通TPlus InitServerInfo存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感数据。

Nx03 系统指纹

鹰图:app.name="畅捷通 T+"

Nx04 系统主页

Nx05 漏洞复现

漏洞POC请查看公众号文章详情:

【漏洞复现】用友畅捷通TPlus InitServerInfo存在SQL注入漏洞

Nx05 修复建议

联系厂商升级系统版本

如棠安全
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】京师心智心理健康测评系统MyReport.ashx存在敏感信息泄露
失心少年
03-21 166
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!漏洞链接:http://127.0.0.1/FunctionModular/PersonalReport/Ajax/MyReport.ashx?
漏洞复现用友-捷通T+-InitServerInfo-SQL注入
知黑而守白
03-13 92
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。用友捷通 T+系统 InitServerInfo 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现用友捷通T+ SQL注入漏洞
2301_79099363的博客
07-13 1308
漏洞复现用友捷通T+ SQL注入漏洞
漏洞复现用友捷通TPlus InitServerInfo.aspx SQL注入漏洞
https://blog.echo234.cn/
03-25 376
捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该系统在InitServerInfo.aspx接口处未对用户的输入进行过滤和校验存在SQL注入漏洞
复现捷通T-Plus SQL注入漏洞_65
fushuang333的博客
03-17 760
复现捷通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
用友捷通TPlus InitServerInfo 存在SQL注入
weixin_43167326的博客
03-24 789
捷通公司是用友集团旗下的成员企业,专注于服务国内小微企业的财务和管理服务。一方面,捷通将自己的产品、业务、技术架构互联网化;另一方面,捷通推出了捷通一站式云服务平台,面向小微企业提供以数智财税、数智商业为核心的平台服务、应用服务、业务服务及数据增值服务,致力于建立“小微企业服务生态体系”。
捷通Tplus1 最新授权生成器(可修改群号版本)
01-18
捷通Tplus1(12.X)最新授权生成器,批量生成,可修改群号码 (免狗,i注意右键使用管理员运行),说的够清楚,下了不会用的,别找我。
捷通Tplus v11.6_数据字典
09-25
用友捷通T+数据库字典,其中包含T+的所有单据的数据库的表,字段。 用友捷通T+数据库字典,其中包含T+的所有单据的数据库的表,字段。
Tplus15.0DataDict.zip
05-22
T+15.0数据字典 chm格式 数据库概述 UFTSystem 库 系统库,存储账套信息、备份信息、安全盾、多租户、升级信息等数据。 UFTData 库 账套库,存储T+元数据定义、T+业务数据等
用友T+12.1二开工具指南说明
09-11
附件包含 用友T+12.1二开工具指南说明 OpenAPI示例工具 SDK_Demo的代码
Tplus清除密码神器2.0.zip
03-01
T+清除管理员和操作员密码工具
漫谈企业信息化安全 - 零信任架构
SplashtopLoki的博客
05-27 1201
SDP是一种网络安全框架,旨在提供安全、隐私和访问控制,通过创建一种透明的、动态的连接模型,将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络边界之内。SDP的目标是通过动态生成的边界实现更加精细的访问控制和安全性。
Docker 安全及日志管理
最新发布
2301_77081516的博客
06-02 276
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系统、 进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
掌控安全CTF-2024年5月擂台赛-WP(部分)
ASD830的博客
05-27 1125
如果实在没看到的话(或者扫不出来),可以放stegsolve里面看看,red plane 3,够清晰了吧哈哈哈。
ModStartBlog v9.4.0 后台安全升级,已知问题修复
qq_26450889的博客
05-29 961
ModStart 是一个基于 Laravel 模块化极速开发框架。模块市场拥有丰富的功能应用,支持后台一键快速安装,让开发者能快的实现业务功能开发。系统完全开源,基于 Apache 2.0 开源协议。
企业如何安全的使用U盘
feng_321_的博客
05-29 585
U盘的随意使用可能导致未经授权的人员随意插拔U盘,增加了信息泄露的风险。对于已经确定的内部使用的U盘,可以对U盘进行加密,拷贝到U 盘里面的文件,然后他如果说把U盘拿出去用是需要先格式化的格式化完之后,才可以用。如果员工使用的U盘感染了病毒,那么病毒可能会通过U盘传播到企业的计算机系统中,导致系统瘫痪、数据损坏甚至丢失。:使用专门的设备控制软件,如安秉网盾终端管理系统,可以灵活地管理和控制USB设备的使用权限,指定哪些U盘可以使用,哪些不能使用。员工随意使用U盘可能会导致工作流程混乱,影响工作效率。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 1052
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
CRLF注入漏洞
LfanBQX的博客
05-27 411
找到输入点【一般在请求头/后】,构造恶意的CRLF字符,添加换行符+cookie,看响应是否出现cookie值和换行。CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a)。验证方法:通过修改HTTP参数或URL,注入恶意的CRLF,查看构造的恶意数据是否在响应头中输出。Nginx会将 $uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞。▶ crlfuzz -u "URL" 单个扫描。漏洞存在会显示32m。
i5-12490F盒 利民AX120RSE 华硕B660M-k D4 PCle4.0 NVMe M.2 金百达16G 致态SSD NVMe M.2 PCle4.0 1TB tplus7100 七彩虹3060ti ultra 长城750w金牌全模 这个配置有什么2k显示器推荐 小于1500的价位
03-25
A:推荐以下几款2K显示器: 1. AOC Q27G2S 27寸 2K 144hz IPS电竞显示器 2. 华硕 TUF VG249Q1R 24英寸 2K 165hz玩家竞技e-sports显示器 3. BENQ GW2780T 27寸 2K 75hz IPS高清显示器 4. 飞利浦 272E1GAJ 27寸 2K 75hz 英寸玩家显示器 以上几款2K显示器都具有不错的屏幕分辨率和刷新率,同时价格也不算太贵,可以根据自己的需求和预算进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值