【漏洞复现】宏景人力资源信息管理系统 showmediainfo SQL注入漏洞

已于 2024-04-04 22:40:40 修改
阅读量849 收藏 4
点赞数 21
分类专栏: 漏洞复现 文章标签: 网络安全 web安全
于 2024-04-04 22:39:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40550150/article/details/137384668
版权

免责声明:文章来源互联网收集整理,文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

一、漏洞描述

宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。

二、影响版本

  • 宏景HCM

三、资产测绘

  • fofa:app="HJSOFT-HCM"
  • 特征

四、漏洞复现

加密攻击下载地址:https://github.com/vaycore/HrmsTool/releases/download/0.1/HrmsTool.jar

mssql:
image-20240403170940332
oracle:
image-20240403170954000
加入圈子获取更多未公开漏洞POC,内部VIP专属0day漏洞库

限时优惠券:入圈立减70

圈子福利:每天更新1-2个0/1day,Nday每天不低于5个,内部专属知识库,包含往年Nday。

星球优惠券-2

E_cho234
关注
  • 21
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java -jar HrmsTool.jar -d xxx
宏景多个接口存在SQL注入漏洞-1day未公开漏洞
weixin_43167326的博客
02-01 376
宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。
宏景EHR view接口sql注入漏洞
Keepb1ue的博客
01-12 651
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件.宏景eHR view接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
CNVD-2023-08743:宏景HCM SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
11-07 1536
宏景HCM系统 categories处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
【Nday】Spring-Cloud-SpEL-RCE漏洞复现
wwang135的博客
03-30 4402
Spring-Cloud-SpEL-RCE漏洞复现
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞(1)
2401_84183451的博客
04-12 292
p204888 (备注大数据获取)**[外链图片转存中…(img-CAGbODpK-1712871727780)]
人力资源管理信息系统源码
02-04
人力资源管理信息系统源码,HR 管理
宏景人力资源系统功能模块选型表.doc
07-23
宏景人力资源系统功能模块选型表宏景人力资源系统功能模块选型表
宏景软件考勤管理解决方案.docx
11-16
宏景软件考勤管理解决方案.docx
宏景软件考勤管理解决方案样本.doc
12-06
宏景软件考勤管理解决方案样本.doc
宏景eHR SQL注入漏洞复现(CNVD-2023-08743)
0xSec
05-30 4730
宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
漏洞复现宏景HCM-SQL注入-downlawbase
知黑而守白
04-10 348
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 showmediainfo 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现】(Nday)用友U8 Cloud 任意文件读取漏洞复现
KKleeeaa的博客
04-02 291
的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。声明:亲爱的读者,我们诚挚地提醒您,Aniya。对路径进行Base64编码。0x01:FOFA语句。0x02:漏洞POC。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8237
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全之BGP详解
最新发布
m0_65858385的博客
05-23 1300
在IBGP协议里邻居关系建立或路由传递时,只能在直连之间传递(大多数用的组播更新,组播更新地址用的是224.0.0.X,而224.0.0.X的地址用的TTL值默认为1,所以不能跨网段传递路由,而BGP为什么行可以跨网段传递,是因为它是基于TCP的,TCP是要进行三次握手的,即只要两个IP之间能相互通信,就能进行三次握手,能够三次握手BGP就能传路由,跟中间传递的路由器没有关系,对于中间的路由器而言,它们只知道传递的是点对点的TCP数据包,而实质上这里面承载着BGP的路由信息)。
面对网络安全隐患该如何去做呢?
m0_73514785的博客
05-23 651
由于主动式集线器与交换机不通过广播方式进行数据包的转发,嗅探技术也只针对共享式的网络起作用,因此,可以通过交换机的使用,对网络进行分段,最大程度地防止网络技术地攻击,即使受到嗅探技术地入侵,也只能攻击到一部分的信息流。其实伪基站不会连接到运营商的真实网络,它只是自动测量出其所在区域运营商基站所用的广播控制信道频点,然后将测量到的频点和短信内容输入到伪基站的操作平台上,批量群发短信,并且可以在接收方的短信上任意编造主叫号码。开启这些防护设备的网络,可实现对网络层的访问控制,是上网安全的重要保障。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 973
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
宏景 get_org_tree-sqli
11-30
宏景 get_org_tree-sqli是一种SQL注入攻击。在宏景软件的get_org_tree函数中,存在着未经过滤或者验证的用户输入,导致攻击者可以通过构造恶意的SQL查询语句来对数据库进行未授权的访问和操作。 当应用程序没有正确地对用户输入进行过滤、转义或验证时,攻击者可以利用这个漏洞构造恶意的输入来执行SQL查询语句。攻击者可以注入SQL代码,修改数据库查询语句的逻辑,获取、删除或修改数据库中的数据,甚至完全控制数据库服务器。 为了防止宏景 get_org_tree-sqli攻击,开发人员应该始终遵循安全的编码实践。 1. 输入验证和过滤:应该对所有的用户输入进行验证和过滤,确保输入数据符合预期的格式和类型。可以使用合适的输入验证函数或正则表达式来实现。 2. 使用参数化查询或预处理语句:建议使用参数化查询或预处理语句来执行数据库查询操作,而不是直接拼接用户输入构成的查询语句。参数化查询可以防止SQL注入攻击。 3. 最小权限原则:数据库账户应该按照最小权限原则进行授权,避免给予不必要的权限。这样即使发生了SQL注入攻击,攻击者也只能执行有限的操作。 4. 错误信息处理:避免将详细的错误信息直接输出到用户界面上,这样可能会暴露敏感的数据库结构和错误详情,为攻击者提供攻击的线索。可以将错误信息记录在日志文件中,以便日后的安全审计和调查。 通过以上措施,开发人员可以提高应用程序的安全性,防止宏景 get_org_tree-sqli等SQL注入攻击对系统造成威胁。同时,定期对应用程序进行安全测试和漏洞扫描,及时修复和更新系统中发现的安全漏洞,保障系统安全运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值