聚恒中台系统 data.ashx SQL注入致RCE漏洞复现

已于 2024-05-21 13:11:00 修改
阅读量524 收藏 1
点赞数 8
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-05-21 13:03:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/139089621
版权

0x01 产品简介

聚恒中台是山东聚恒网络技术有限公司打造的一款BPM流程管理系统,平台以低代码敏捷开发、流程协同、移动互联、软硬互联、大数据分析等前沿技术为支撑,平台包含8大引擎、16种业务组件,支持三种部署方式,四级权限控制,五大应用模式(PC、手机、PDA、工业平板、工位机),六大主流品牌erp双向集成,七大企业常规应用场景(预算、HR、门户、协同办公、智慧生产、CRM、集成应用),为企业信息化建设提供一站式服务,帮助企业快速实现数字化。

0x02 漏洞概述

聚恒中台系统 data.ashx 接口处存在SQL注入漏洞,

未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。

0x03 复现环境

FOFA:

icon_hash="-2049533275" || icon_hash="-737808640" || icon_hash="-1557056363"

0x04 漏洞复现

PoC

POST /s
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 1460
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
漏洞复现 POC 综合
qq_56895879的博客
08-14 811
漏洞复现
聚恒中台系统 data.ashx 文件存在SQL注入漏洞
最新发布
渗透安全Sec
05-22 653
山东聚恒网络技术有限公司,聚恒中台data.ashx 文件存在SQL注入漏洞、可以rce
漏洞复现聚恒中台系统 data.ashx SQL注入
siu~
05-22 199
聚恒中台系统 `data.ashx` 接口处存在`SQL`注入漏洞
红蓝对抗重点OA系统漏洞利用工具新年贺岁版V2.0
siu~
08-29 944
红蓝对抗重点OA系统漏洞利用工具新年贺岁版V2.0的设计中旨是为了帮助各位师傅在渗透测试和挖洞中以及攻防演练中能够快速对OA系统进行快速定位进行漏洞检测和利用.,目前已实现20款OA系统漏洞检测和利用,共133个漏洞.听说day一打一个准,也欢迎各位师傅补充漏洞和反馈误报,我们将积极作出调整和完善.
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
weixin_72543266的博客
04-22 1038
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
jquery向.ashx文件post中文乱码问题的解决方法
10-28
jquery向.ashx文件post中文乱码问题的解决方法,需要的朋友可以参考下。
OpenFile.ashx
06-02
OpenFile.ashx
在.ashx文件中获取cookies值实现代码
10-27
.ashx文件中获取cookies值对于一些高手们就不多说了,至于一些小白们还是有必要多多学习啊,好了话不多说,看代码,感兴趣的你可不要错过了哈
*.ashx文件不能访问Session值的解决方法
10-25
主要介绍了*.ashx文件不能访问Session值的解决方法,只需在头部引用一个命名空间即可解决问题,非常实用,需要的朋友可以参考下
线性系统系统辨识综述.ashx
12-01
线性系统系统辨识综述.ashx
Jquery Ajax.ashx 高效分页实现代码
10-29
Jquery ,大家都熟悉的一个框架,我对Jquery正在学习中,对其影响最深的当属 它的选择器之强,ajax与服务器之间的交谈
碳达峰目标下区域电力系统供电成本研究.ashx
02-28
碳达峰目标下区域电力系统供电成本研究.ashx
化工产品仓库管理系统的设计与实现.ashx
12-15
化工产品仓库管理系统的设计与实现.ashx
asp.net *.ashx类型的文件使用说明
01-02
解决方案:使用ashx文件。 1. 使用ASHX handlers 首先,我们要回顾要使用ASHX文件的目标,我们要做的是在一个地址中用ASHX文件并动态的返回内容。 我们将用到querystring,最后的地址格式为(例子): ...
威客模式在网络经济中的运用.ashx
10-29
威客模式在网络经济中的运用.ashx
1638182594521092_GIS在自然资源管理中的运用分析.ashx
11-29
1638182594521092_GIS在自然资源管理中的运用分析.ashx
大学图书馆座位预定系统的设计与实现.ashx
10-24
大学图书馆座位预定系统的设计与实现.ashx
.ashx接口单元测试
06-07
您好,针对您的问题,我可以为您提供以下的回答: 首先,.ashx是一种用来处理ASP.NET请求的处理程序文件类型,其本身并不包含单元测试的功能。 针对您的需求,您可以采用以下步骤进行单元测试: 1. 编写测试用例:根据您的需求,编写多个测试用例,包含各种情况的测试数据。 2. 引入测试框架:可以使用Visual Studio自带的测试框架或第三方测试框架,如NUnit、xUnit等。 3. 编写测试代码:编写测试代码,使用测试框架进行测试用例的执行,并验证测试结果是否符合预期。 4. 运行测试:在Visual Studio中运行测试,查看测试结果是否通过。 需要注意的是,在进行单元测试时,需要保证测试环境的稳定性,避免测试数据对正式环境造成影响。 希望以上回答能够帮助到您,如有疑问,请随时追问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值