海翔ERP getylist_login.do SQL注入漏洞

最新推荐文章于 2024-07-17 17:42:20 发布

时光匆匆逝，期年如梦

最新推荐文章于 2024-07-17 17:42:20 发布

阅读量515

点赞数 8

分类专栏： 0/1day漏洞复现文章标签：安全 web安全

本文链接：https://blog.csdn.net/qq_39573664/article/details/135200481

版权

0/1day漏洞复现专栏收录该内容

6 篇文章 0 订阅

订阅专栏

0x01 产品简介

海翔云平台ERP系统，这是一款能够帮助企业实现数字化转型、提升管理效率的管理软件。

0x02 漏洞概述

海翔ERP在getylist_login.do接口的accountname存在sql注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

0x03 影响范围

海翔ERP

0x04 复现环境

body="checkMacWaitingSecond"

0x05 漏洞复现

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

时光匆匆逝，期年如梦

关注关注

8
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

海翔ERP getylist_login.do接口存在sql注入漏洞

nnn2188185的博客

03-09

131

海翔ERP getylist_login.do接口存在sql注入漏洞附POC软件

海翔云平台 getylist_login.do SQL 注入漏洞复现

0xSec

11-28

1185

海翔云平台getylist_login.do接口处存在SQL注入漏洞，未经身份认证的攻击者可通过该漏洞获取数据库权限，除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

参与评论您还未登录，请先登录后发表或查看评论

Goby漏洞发布 | CVE-2024-4879 ServiceNowUI /login.do Jelly模板注入漏洞【已复现】

最新发布

m0_46699477的博客

07-17

621

CVE-2024-4879:ServiceNow的Jelly模板和Glide表达式由于输入验证不严格，存在注入漏洞。这些漏洞可以被未经身份验证的攻击者通过构造恶意请求利用，在ServiceNow中获取敏感文件，甚至远程执行代码。

Goby漏洞更新｜H2 Database 数据库 login.do 文件远程代码执行漏洞 (CVE-2021-42392)

m0_46699477的博客

04-07

411

H2 database是一款Java内存数据库，多用于单元测试。H2-Database Web管理页面存在未授权远程代码执行漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。

高危漏洞（登录接口带有vcode造成CSFF攻击）

meimeib的博客

07-16

198

测试软件 appscan 测试结果来源 POST /web-api/api/login/checkLogin.do?vcode=3564 解决方案把vcode放入body里

海翔ERP getylist_login.do SQL注入漏洞（含批量验证poc）

weixin_43567873的博客

04-18

海翔ERP getylist_login.do SQL注入漏洞（含批量验证poc）

海翔云ERP getylist_login 接口SQL注入

weixin_43567873的博客

03-10

海翔云ERP getylist_login 接口SQL注入

海翔云平台getylist_login.do接口 SQL注入漏洞复现 [附POC]

薛定谔嘚喵博客

12-04

187

海翔云平台的 getylist_login.do 存在 SQL 注入漏洞，攻击者可以通过在请求中注入恶意的 SQL 语句，导致数据库泄露、数据篡改或其他安全风险。建议立即修复此漏洞以防止潜在的攻击。

伍海翔APP设计·UI设计作品.pdf

08-26

伍海翔APP设计·UI设计作品.pdf

盐城海翔EPRO系统介绍PPT学习教案.pptx

10-04

【盐城海翔EPRO系统介绍】是一份详细阐述海翔集团EPRO系统建设的PPT学习教案，旨在介绍该系统的背景、目标、意义以及实施进展。这个系统是针对海翔集团内部的信息化改革，旨在提升企业的核心竞争力和管理水平。 1. ...

Web漏洞挖掘（一）登录认证模块的暴力破解实例

wuqi5700的博客

07-26

4446

Web漏洞挖掘（一）登录认证模块的暴力破解实例暴力破解的定义暴力破解的分类暴力破解的威胁涉及的基础知识模块相关硬件（高速GPU推荐）基于Burp Suite的暴力破解实例暴力破解的定义暴力破解测试是指针对应用系统用户登录账号与密码进行的枚举测试，针对账号或密码进行逐一对比，直到找到正确的账号与密码。暴力破解的分类已知账号的情况：加载密码字典针对密码进行枚举测试；未知账号的情况：加载账号字典，配合着密码字典进行枚举测试；未知账号和密码的情况：利用两个账号字典与密码字典进行枚举测试；暴力破

某SSC模板通杀漏洞

课嗨教育的专栏

07-27

442

目录 0x1漏洞位置 0x2漏洞利用 0x3 漏洞关键词 0x1漏洞位置该漏洞位置位于ssc后台，为登陆处延时注入。 0x2漏洞利用在登陆过程中抓包获取相关http请求包： POST /Public.login.do HTTP/1.1 Host: xxx User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0 Content-Length: 223 Accept: text/html,

Struts2远程代码执行漏洞

青衫烟雨客的专栏

03-18

3431

Struts2曝远程代码执行漏洞本文摘自：http://www.oschina.net/news/74386/struts-2-cve-2016-4438 今年4月份，Apache Struts 2之上发现的S2-033远程代码执行漏洞，以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危漏洞的修复方案还是无效的。

软件漏洞-泛微OA-汇总

weixin_30855099的博客

09-20

3295

SQL注入 前台SQL注入 用户名：admin' or password like 'c4ca4238a0b923820dcc509a6f75849b' and 'a'='a 密码: 1 验证页面参数 -loginid （1）/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.js...

网站10大常见安全漏洞及解决方案

热门推荐

shanhanyu的博客

05-30

2万+

一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全，所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后，也逐渐发现有些方面还是需要程序员注意的。1. SQL注入 安全等级★★★★★几乎每一个网站后台开发人员都听到的一个词，并且都很敏感，但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。前段时间部门一位新同事，据说是5年工作经验，...

CVE-2018-2894任意文件上传(Weblogic)漏洞复现

千寻的博客

05-25

812

文章目录0x01漏洞介绍0x02利用条件0x03影响版本0x04环境搭建0x05漏洞复现0x06漏洞修复摘抄 0x01漏洞介绍 Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞，进而获取服务器权限。两个页面分别为 /ws_utc/begin.do /ws_utc/config.do。 0x02利用条件需要知道部署应用的web目录 ws_utc/config.do在开发模式下无需认证，在生产模式下需要认证。 0x03影响版本 Weblogic 10.3.6.0 Webl

基于Tomcat 的WEB Project存在的安全漏洞总结

HarryChenj的专栏

01-16

1万+

1 检查工具：Acunetix Web Vulnerability Scanner V9破解版 2 检查漏洞说明结果显示： 2.1 HTML Form Without CSRF Protection 2.2 slow_Http_DoS 2.3 If possible, you should set the Secure flag for this cookie 2.4

Weblogic-任意文件上传漏洞（CVE-2018-2894）

飞鱼的企鹅的博客

07-17

738

前言影响的版本：Oracle WebLogic Server，版本10.3.6.0，12.1.3.0，12.2.1.2，12.2.1.3。受到影响的页面为/ws_utc/config.do和ws_utc/begin.do 利用该漏洞，可以上传任意jsp文件，进而获取服务器权限环境搭建此漏洞环境依托于vulhub，前提是搭建好vulhub环境。搭建好环境后，切换到漏洞对应的目录下，启动doc...