畅捷通T+ Ufida.T.DI.UIP.RRA.RRATableController 反序列化RCE漏洞复现

已于 2024-03-15 00:23:53 修改
阅读量578 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-03-15 00:23:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/136719788
版权

0x01 产品简介

畅捷通 T+ 是一款灵动,智慧,时尚的基于互联网时代开发的管理软件,主要针对中小型工贸与商贸企业,尤其适合有异地多组织机构(多工厂,多仓库,多办事处,多经销商)的企业,涵盖了财务,业务,生产等领域的应用,产品应用功能包括:采购管理、库存管理、销售管理、生产管理、分销管理、零售管理、往来管理、现金银行管理、总账、移动应用等,融入了社交化、移动化、电子商务、互联网信息订阅等元素,为企业打造全新的生意模式、管理模式、工作模式。与传统管理软件相比,“T+”更强调企业管理向企业经营的转变、等级化管人向平等化用人理念的转变。

0x02 漏洞概述

畅捷通 T+ /tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx接口存在.net反序列化漏洞,未经过身份认证的攻击者可以通过构造恶意的序列化请求在目标服务器上执行任意命令。

0x03 影响范围

畅捷通 T+ 13.0

畅捷通 T+ 16.0

0x04 复现环境

FOFA:app="畅捷通-TPlus"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
订阅专栏
Ufida.U8.GLTVoucher(修改联单).zip
12-16
本文说明:资源是基于用友U8开发的按钮根据需要对某个字段进行修改更变,仅用于单据业务保存后的数据更变,
UFIDA.U8.Portal.NetProductSample.zip_Portal u8_U8_U8 门户集成 C#示例_U
07-14
U8门户集成示例功能,已在真实环境中测试成功
UFIDA.U9.CBO.ItemMasterBE.zip
03-23
U9插件开发代码示例
把json数据进行修剪,只取你想要的内容
weixin_43751415的博客
03-20 90
【代码】把json数据进行修剪,只取你想要的内容。
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 1454
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
捷通T+ Ufida.T.DI.UIP.RRA.RRATableController 远程命令执行漏洞
selecthch的博客
03-26 390
捷通TPlus适用于异地多组织、多机构对企业财务汇总的管理需求;全面支持企业对远程仓库、异地办事处的管理需求;全面满足企业财务业务一体化管理需求。其Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx?method=GetStoreWarehouseByStore接口存在反序列化漏洞,可导致命令执行。漏洞名称:捷通T+ Ufida.T.DI.UIP.RRA.RRATableController 远程命令执行漏洞漏洞类别:远程命令执行漏洞
捷通T+ Ufida.T.DI.UIP.RRA.RRATableController 反序列化RCE
weixin_43567873的博客
03-15 205
捷通T+ Ufida.T.DI.UIP.RRA.RRATableController 反序列化RCE
漏洞复现1day】捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
qq_34780861的博客
03-21 534
捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
Ufida.T.EAP.Dog.Service.dll
02-27
50 users
servlet+jdbc基础项目UFIDA.zip
09-28
这个主要是刚接触javaEE不久之后用最基础的jdbc+servlet+MySQL做的一个项目
T+二开 级联自由项(极简扩展方法)
03-26
内容概要:通过JS扩展,自定义服务实现单据自由项级联需求开发 适合人群:捷通T+二开人员
用友捷通RRATableController存在反序列化漏洞
qq_36334672的博客
04-01 229
用友捷通 T+ /tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx接口存在.net反序列化漏洞,未经过身份认证的攻击者可以通过构造恶意的序列化请求在目标服务器上执行任意命令。
登录安全分析报告:小米官网注册
Explinks的博客
05-29 931
图形验证及交互验证方式的安全性到底如何?请看具体分析。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 994
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
导线防碰撞警示灯:高压线路安全保障
最新发布
dxzhkj888888的博客
05-30 270
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
网络学习(九)|深入解析Cookie与Session:高级应用及安全实践
weixin_44435110的博客
05-28 668
通过本以上,后端开发人员可以深入了解Cookie和Session的高级应用、常见问题及其解决方案,有助于设计和实现高效、安全的会话管理系统。
内网安全-隧道搭建&穿透上线&内网穿透-nps自定义上线&内网渗透-Linux上线-cs上线Linux主机
rumil的博客
05-28 1504
nps内网穿透工具是一款轻量级、高性能、功能强大的内网代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用于访问内网网站、支付本地接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。一个轻量级、高性能、强大的内网穿透代理服务器,带有强大的web管理端。 内网渗透-CS上线Linux主机-Linux上线
ufsoft.aif.mom.common.messageobjectmodel.xml
06-06
ufsoft.aif.mom.common.messageobjectmodel.xml是一个XML文件,它是一种数据交换格式,用于描述和传递消息对象模型(MOM)的信息。这个XML文件是由UFIDA公司开发的,用于在它们的软件产品中实现数据交换。 在ufsoft.aif.mom.common.messageobjectmodel.xml中,包含了MOM中定义的各种消息对象模型的信息,例如采购订单、销售订单、发票、付款单等。这些消息对象都有自己的属性和行为,可以通过该XML文件对它们进行描述和传递。 该XML文件的结构比较复杂,它包含了多个命名空间和复杂的元素分层结构。其中还包括了各种数据类型的定义,例如字符串、整型、日期等。 这个XML文件在实现数据交换时,可以通过不同的数据传输协议进行传输。例如,可以通过HTTP、SOAP、FTP等协议来传输XML文件并进行数据交换。 总之,ufsoft.aif.mom.common.messageobjectmodel.xml是一个用于描述和传递MOM中消息对象模型信息的XML文件,它是实现数据交换的重要组成部分。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值