用友 GRP-U8 sqcxIndex SQL 注入漏洞

最新推荐文章于 2025-05-21 13:14:36 发布
最新推荐文章于 2025-05-21 13:14:36 发布
阅读量513 收藏 2
点赞数 11
分类专栏: 漏洞复现 文章标签: sql 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/137004312
版权
本文介绍了用友GRP-U8R10内控管理软件中的SQL注入漏洞,攻击者可借此获取敏感信息,建议升级至安全版本并部署Web防火墙进行防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

产品简介

用友GRP-U8R10行政事业内控管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。

漏洞描述

用友GRP-U8 sqcxIndex.jsp接口存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。

资产测测

FOFA:app=“用友-GRP-U8”
在这里插入图片描述

漏洞复现

POST /u8qx/sqcxIndex.jsp HTTP/1.1
Host: your_ip
User-Agent: Mozilla
最低0.47元/天 解锁文章
用友 GRP-U8 Proxy XXE-SQL注入漏洞
李火火的安全圈
10-09 3760
用友GRP-U8 Proxy 存在SQL注入漏洞,攻击者可通过该漏洞获取服务器权限,详情点击了解更多。
用友GRP-U8 listSelectDialogServlet SQL注入漏洞复现
0xSec
02-05 602
用友GRP-U8R10行政事业内控管理软件listSelectDialogServlet 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
漏洞复现】用友GPR-U8 slbmbygr SQL注入漏洞
今天是几号的博客
10-03 1924
在这里插入图片描述](https://img-blog.csdnimg.cn/fe260ff4d6d14abeb0e576e4bbf3c385.png。用友GRP-U8是面向政府及行政事业单位的财政管理应用。北京用友政务软件有限公司GRP-U8 SQL注入漏洞。POC:拼接/u8qx/slbmbygr.jsp?使用SQLmap进行注入利用。
用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560)
wan___she__pi的博客
05-28 395
用友GRP-U8用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是行政事业财务领域最专业的政府财务管理软件。
用友GRP-U8 SQL注入漏洞复现
10-20 631
用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。
用友GRP-U8 sqcxIndex.jsp SQL注入致RCE漏洞复现(XVE-2024-12560)
0xSec
05-27 690
用友GRP-U8R10行政事业内控管理软件sqcxIndex.jsp 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8 operOriztion SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-28 245
用友GRP-U8 operOriztion SQL注入漏洞(含批量验证poc)
用友GRP-U8 operOriztion SQL注入漏洞复现
0xSec
04-18 586
用友GRP-U8R10行政事业内控管理软件/services/operOriztion 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友 GRP-U8 存在sql注入漏洞复现
zkaqlaoniao的博客
10-30 1375
Track 安全社区 — 掌控安全在线教育- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者info:name: 用友GRP-U8 License Check漏洞requests:path:kjnd=1';matchers:dsl:还没看够?可以关注~免费领取安全学习资料包!(私聊进群一起学习,共同进步)渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
用友GRP-U8 SelectDMJE.jsp存在SQL注入漏洞
qq_39573664的博客
01-24 661
用友GRP-U8R10行政事业内控管理软件在SelectDMJE.jsp接口存在潜在的SQL注入漏洞,未经授权的攻击者有可能利用这个漏洞获取对数据库的权限。进一步的攻击可能导致攻击者获取服务器权限,带来严重的安全风险。
漏洞复现】用友GRP-U8 listSelectDialogServlet SQL注入漏洞
qq_67810151的博客
04-02 266
用友GRP-U8R10行政事业内控管理软件 listSelectDialogServlet 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8 forgetPassword_old.jspSQL注入(附漏洞利用脚本)
jjjj1029056414的博客
01-31 663
用友GRP-U8 forgetPassword_old.jspSQL注入,附带自己写的poc脚本
用友U8 Cloud SQL注入漏洞复现
12-06 682
用友U8 Cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。
玩转CodeQLpy之用友GRP-U8漏洞挖掘
C20220511的博客
03-09 1370
通过CodeQLpy可以辅助代码审计人员快速定位代码中的问题,目前支持对SprintBoot的jar包,SpringMVC的war包,直接下载的源码文件夹,maven项目源码等方式进行自动化代码审计,详细使用方式参考github。使用CodeQLpy可以直接从目标源码中找到上百个高危的漏洞,包括但不限于反序列化,任意文件上传,任意文件删除,SQL注入,SSRF,XSS等,如图2.2所示。利用CodeQLpy生成的数据库,结合CSV文件中保存的有结果的插件名称,可以在VS中复现漏洞查找过程。
用友grp-u8SQL注入&命令执行
MD@@nr丫卡uer
11-20 5746
用友grp-u8SQL注入&命令执行 fofa搜索语句 title=“GRP-U8” 1、查询版本信息:select @@version 2、验证是否为sa权限:select IS_SRVROLEMEMBER(‘sysadmin’) //返回 1,说明是sa权限,可执行sql语句。 3、判断目标机的MSSQL服务是否存在xp_cmdshell扩展存储过程: select count(*) from master.dbo.sysobjects where xtype=‘x’ and name=‘xp_
用友GRP-u8 注入-RCE漏洞复现
thelostworld
12-05 3810
用友GRP-u8 注入-RCE漏洞复现 (HW第一时间复现了,当时觉得不合适,现在才发出来) 一、漏洞简介 用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。 二、漏洞复现 SQL注入POC POST /Proxy HTTP/1.1Host:localhost:8080Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Ma...
SQL 数值计算全解析:ABS、CEIL、FLOOR与ROUND函数深度精讲
最新发布
Musennn的博客
05-21 660
ABS函数:获取绝对值,处理负数场景CEIL与FLOOR函数:掌握向上/向下取整的方向逻辑ROUND函数:精确控制小数位数,注意进位规则NULL值处理:使用COALESCE函数增强健壮性。
关于 Web 漏洞原理与利用:1. SQL 注入SQLi)
Triste__chengxi的博客
05-18 1118
在绕过技巧作用原理典型例子备注编码绕过URL/Unicode/Hex编码%27 OR 1=1绕过简单字符串检测注释绕过利用 SQL 注释符截断后续语句截断后续合法语句大小写绕过混合大小写关键字绕过大小写敏感规则双写绕过重复字符、转义利用转义规则混淆检测宽字节绕过利用多字节编码字符重叠针对 GBK 等中文编码环境延时注入利用延时函数判断盲注无需报错,仅靠响应时间判断。
PopSQL:一个支持团队协作的SQL开发工具
Tony.Dong的专栏
05-18 905
PopSQL 是一款专为团队协作设计的现代化 SQL 编辑器,通过通团队过协作编写 SQL 查询、交互式可视化以及共享结果提升数据分析和管理效率。
用友GRP-U8高校内控管理软件 漏洞
07-28
- *2* *3* [用友 GRP-U8 Proxy XXE-SQL注入漏洞](https://blog.csdn.net/weixin_46944519/article/details/127225867)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值