【漏洞复现】用友GRP-U8 obr_zdybxd_check sql注入

最新推荐文章于 2024-06-17 17:11:39 发布
最新推荐文章于 2024-06-17 17:11:39 发布
阅读量253 收藏 4
点赞数 10
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34780861/article/details/137646746
版权

0x01 阅读须知

“如棠安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!”

Nx02 漏洞描述

      用友GRP-U8是用友软件推出的一款企业级管理软件套件,旨在帮助企业实现全面的数字化管理和业务优化。用友GRP-U8 obr_zdybxd_check接口对用户传入的参数未进行有效的过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞。攻击者通过该漏洞可以获取数据库敏感信息。

Nx03 系统指纹

鹰图:app.name="用友GRP-U8 OA"

Nx04 系统主页

Nx05 漏洞复现

漏洞POC请查看公众号文章详情:

【漏洞复现】用友GRP-U8 obr_zdybxd_check sql注入

Nx05 修复建议

联系厂商升级系统版本

如棠安全
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用友GRP-U8 license_check.jsp SQL注入漏洞复现
0xSec
01-06 859
用友GRP-U8R10行政事业内控管理软件license_check.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8 bx_dj_check.jsp SQL注入致RCE漏洞复现(XVE-2024-10537)
0xSec
05-14 245
用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列,以上受到本次通报漏洞的影响。
用友GRP-U8 obr_zdybxd_check.jsp存在SQL注入漏洞
qq_39573664的博客
01-23 603
用友GRP-U8R10行政事业内控管理软件在 obr_zdybxd_check.jsp 接口存在潜在的SQL注入漏洞,未经授权的攻击者有可能利用这个漏洞获取对数据库的权限。进一步的攻击可能导致攻击者获取服务器权限,带来严重的安全风险。
用友 GRP-U8 bx_dj_check SQL 注入漏洞
Keepb1ue的博客
03-25 399
用友GRP-U8R10行政事业内控管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。
用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
qq_36334672的博客
01-25 309
用友GRP-U8R10 U8Manager B、C、G 系列产品 < 20230905。
用友GRP-U8 dialog_moreUser_check.jsp SQL注入致RCE漏洞复现(XVE-2024-10610)
0xSec
05-14 340
用友GRP-U8R10行政事业内控管理软件dialog_moreUser_check.jsp 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8 SQL注入漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
09-26 1577
用友GRP-U8 SQL注入漏洞复现
漏洞复现】某友GRP-U8 SQL注入
失心少年
09-26 444
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。某友GRP-U8是某友软件推出的企业级管理软件套件,旨在助力企业实现全面数字化管理及业务优化,某友GRP-U8的bx_historyDataCheck.jsp接口对用户传入的参数未进行有效的过滤,直接拼接至SQL查询的语句中,导致SQL注入漏洞,攻击者可利用该漏洞获取数据库的敏感信息。
用友GRP-U8 SelectDMJE.jsp SQL注入漏洞复现
0xSec
01-18 482
用友GRP-U8R10行政事业内控管理软件SelectDMJE.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8-行政事业单位财务管理软件操作手册.pdf
03-30
用友GRP-U8-行政事业单位财务管理软件操作手册.pdf用友GRP-U8-行政事业单位财务管理软件操作手册.pdf用友GRP-U8-行政事业单位财务管理软件操作手册.pdf用友GRP-U8-行政事业单位财务管理软件操作手册.pdf用友GRP-U8-...
GRP-U8行政事业内控管理软件V11.21安装教程
05-28
鉴于很多新手朋友不会安装GRP-U8行政事业内控管理软件,故而出此视频教程!仅供参考!
用友GRP-U8R10政务管理软件AO数据采集方法.pdf
11-04
用友GRP-U8R10政务管理软件AO数据采集方法 本文将介绍如何使用用友GRP-U8R10政务管理软件实现AO数据采集的方法。该方法适用于审计过程中遇到的财务软件升级问题,即从用友GRP-R9 V9.7升级到用友GRP-U8R10,导致AO...
用友政务GRP-U8,近期常见问题85例解决方法
03-26
1.查询科目明细账会出现很多重复记录,2.查询明细账未按照凭证号排序3.自定义凭证打印,不打印上级科目名称:13.打开凭证箱慢15.期初余额装入中导入Excel文件报错,17.以前是双凭证模式,怎么调整为单凭证模式等等85...
用友GRP-U8财务管理软件国标数据接口输出操作方法资料.pdf
02-14
"用友GRP-U8财务管理软件国标数据接口输出操作方法资料" 用友GRP-U8财务管理软件是政府行政事业单位财务人员专用的财务管理软件。该软件通过了GB/T 24589认证,并严格遵循公司研发质量管理标准,执行GB/T 24589-...
2024中国网络安全产品用户调查报告(发布版)
2301_76786857的博客
06-12 869
本报告正是安在新媒体发起,基于“诸子云社群,以“取之于民,用之于民"的方式,反馈“甲方"眼中的中国网络安全市场情况,为网络安全行业提供来自网络安全企业用户视角的参考。自2020年始,人类进入了21世纪的第二个十年,全球进入了百年未有之大变局,新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增,网络对抗愈演愈烈,导致中国网络安全市场和环境受到重大影响。
网络安全管理组织架构复习
LongL_GuYu的博客
06-12 497
网络安全管理组织架构复习
网络安全练气篇——OWASP TOP 10
weixin_55762309的博客
06-13 1068
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。
网络安全筑基篇——SQL注入
最新发布
weixin_55762309的博客
06-17 985
SQL(Structured Query Language,结构化查询语言)是一种用于管理关系型数据库系统的语言,它可以用于创建、修改和删除数据库中的表和记录,以及执行查询操作。简单易学:SQL语法相对简单,易于理解和学习。高效灵活:SQL可以执行快速和复杂的数据库操作,如插入、更新、删除和查询。标准化:SQL是一种标准化的语言,大多数关系型数据库系统都支持SQL。表达能力强:SQL支持各种复杂的查询和数据操作,可以根据需要进行数据的筛选、排序、合并等操作。
用友GRP-U8高校内控管理软件 漏洞
07-28
- *2* *3* [用友 GRP-U8 Proxy XXE-SQL注入漏洞](https://blog.csdn.net/weixin_46944519/article/details/127225867)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值