用友 NC saveXmlToFIleServlet 任意文件上传漏洞复现(XVE-2024-6507)

已于 2024-04-12 16:43:01 修改
阅读量765 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-04-03 23:16:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/137359914
版权

0x01 产品简介

用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。

0x02 漏洞概述

用友 NC saveXmlToFIleServlet接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

0x03 影响范围

NC65

0x04 复现环境

FOFA:app="用友-UFIDA-NC"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
用友NC_saveImageServlet接口存在文件上传漏洞(含批量验证poc)
weixin_43567873的博客
04-15 65
用友NC_saveImageServlet接口存在文件上传漏洞(含批量验证poc)
用友NC接口saveXmlToFIleServlet文件上传漏洞(含批量验证poc)
m0_60229361的博客
04-16 429
NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。
用友NC grouptemplet 任意文件上传漏洞复现(XVE-2024-8857)
0xSec
04-24 389
用友 NC grouptemplet 接口存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友NC saveImageServlet 任意文件上传漏洞复现(XVE-2024-7471)
0xSec
04-12 602
用友 NC saveImageServlet 接口存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友NC registerServlet JNDI 远程代码执行漏洞复现(XVE-2024-10248)
0xSec
05-11 788
用友NC registerServlet 接口存在JNDI 远程代码执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友NC down/bill SQL注入漏洞复现(XVE-2024-9469)
0xSec
05-01 591
用友NC //portal/pt/erfile/down/bill接口的id参数存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 497
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
用友NC printBill 任意文件读取/删除漏洞复现(XVE-2024-10609)
0xSec
05-14 283
用友NC printBill 接口存在任意文件读取/删除漏洞,未经身份验证的远程攻击者可利用该漏洞读取或删除系统敏感文件。使系统处于极不安全的状态。
某外贸ERP 任意文件上传导致命令执行漏洞复现(XVE-2024-8865)
0xSec
04-24 639
某外贸ERP UploadEmailAttr接口存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
迅雷看看xv文件转换器XVE 第7版
09-27
迅雷看看xv文件转换器XVE 第7版(支持批量操作) 绿色免费版!
XVE视频转换器
05-09
迅雷看看中提供的各种高清电影、美剧不但更新及时,而且缓冲速度也明显高于其他形式的在线播放,但...并自动与原文件保存在同一目录下,如此就可以再方便地享受迅雷速度的同时,又能像其他的视频一样使用任意播放器观赏了。
XVE提取工具
02-21
XVE提取工具
超级文件资源管理器X v1.2.1官方版
12-18
为您提供超级文件资源管理器X下载,超级文件资源管理器X是一款多标签页的文件管理工具,支持标签页,让文件管理更简单,更省心,归类显示,AI操作感知,在处理文件时更高效!软件特色 1.支持多标签页 多标签页,让...
angular-tr001:创建于StackBlitz:high_voltage:
02-22
xve8m6
云端数据提取:安全、高效地利用无限资源
Shaidou_Data的博客
05-30 617
随着技术的不断进步和安全威胁的不断演变,企业和组织必须持续关注和更新他们的数据处理策略,以应对未来可能出现的新挑战。然而,随着数据的指数级增长,数据的安全性和高效的数据处理成为了企业最为关心的议题之一。在云计算环境中,数据安全面临着多方面的挑战,包括但不限于未经授权的数据访问、数据泄露、以及数据在传输过程中的截取等。数据提取是数据处理流程中的第一步,它涉及从各种源系统中检索所需数据的过程。
富格林:谨防被骗实现安全交易
fgl100的博客
05-30 276
富格林指出,进行现货黄金投资的时候,有不少投资者都会犯下这个危及安全交易的毛病,就是没有合理控制好交易成本。如果投资成本没有控制好,把自己账户资金的全部都放进去,那么一旦逆势波动,就可能会发生爆仓的情况。成本和仓位不混为一谈,有些投资者认为成本和仓位是一样的,但并不是的,成本是投资者,投入多少金额的。如果投资的仓位较大,成本也会大,但是成本大,仓位不一定大,同时大仓位带来的收益与风险是并存的。以上的是富格林分享的控制费用成本的实用方法,有助于帮助投资者通过减少支出,从而增加利润。
2024年终端安全管理系统最新排名(2024终端安全管理软件TOP5)
最新发布
2401_83058349的博客
05-30 303
2024年,随着企业数字化转型的加速和网络安全威胁的日益严峻,终端安全管理系统的重要性愈发凸显。因此,各大终端安全管理系统厂商纷纷推出新的产品和解决方案,以满足市场的需求。这些厂商通过不断的技术研发和创新,推出了各具特色的终端安全管理系统,为企业提供了全方位的安全保障。各大厂商将继续加大技术研发和创新力度,推出更加先进、高效、安全的终端安全管理系统,为企业提供更加坚实的安全保障。未来,终端安全管理系统将更加注重智能化、自动化和云化的发展趋势,以满足企业日益增长的安全需求。
用友nc 二开 教程
10-31
用友NC是一款非常常用的企业管理软件,通过二次开发可以对其进行定制和扩展,满足企业个性化的需求。 使用用友NC进行二次开发需要一些基础知识和技能。首先,需要具备Java编程基础,使用Java语言进行开发。其次,需要了解用友NC的架构和开发框架,包括模块化设计、基础数据结构和常用开发接口等。还需要掌握用友NC的数据库结构和相关开发工具,如Eclipse集成开发环境和用友NC Studio开发工具。 学习用友NC的二次开发,可以通过以下几个步骤实施: 1. 学习用友NC的基础知识:了解用友NC的功能和模块,掌握其基本操作和基础数据结构,为后续的开发做好准备。 2. 学习Java编程:掌握Java语言的基础知识和面向对象编程的概念,了解Java开发框架和相关工具,包括JDK、Eclipse等。 3. 学习用友NC的开发框架:深入学习用友NC的开发框架,了解其模块化设计和常用开发接口,掌握二次开发的基本原理和方法。 4. 实践开发项目:通过实际开发项目,锻炼自己的开发能力和解决问题的能力,掌握用友NC的二次开发技术和实践经验。 5. 持续学习和提升:用友NC的二次开发属于持续学习的过程,需要不断更新知识和技能,关注用友NC的新功能和技术,与同行交流经验和分享成果。 总之,用友NC的二次开发是一项具有挑战性的任务,但是通过学习和实践,可以掌握其开发技术和方法,为企业定制和扩展用友NC,提高企业管理效率和精确度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值