LVS精益价值管理系统 LVS.Web.ashx SQL注入漏洞复现

已于 2024-05-22 18:29:30 修改
阅读量492 收藏 1
点赞数 2
分类专栏: 漏洞复现 文章标签: lvs 安全 web安全
于 2024-05-22 18:28:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/139126590
版权

0x01 产品简介

LVS精益价值管理系统是杭州吉拉科技有限公司研发的一款专注于企业精益化管理和价值流优化的解决方案。该系统通过集成先进的数据分析工具、可视化的价值流映射技术和灵活的流程改善机制,帮助企业实现高效、低耗、高质量的生产和服务。

0x02 漏洞概述

LVS精益价值管理系统 /ajax/LVS.Web.AgencytaskList,LVS.Web.ashx 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。

0x03 复现环境

FOFA:

body="/ajax/LVS.Core.Common.STSResult,LVS.Core.Common.ashx"

0x04 漏洞复现

PoC

POST /ajax/LVS.Web.AgencytaskList,LVS.Web.ashx?_method=GetColumnIndex&_session=r HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Conten
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
LVS精益价值管理系统 DownLoad.aspx 任意文件读取漏洞复现
0xSec
05-22 816
LVS精益价值管理系统 DownLoad.aspx 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 730
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
extjs desktop相关 动态生成开始菜单 多级菜单的快捷方式
cat_rat的博客
03-23 245
最近用项目中用ext的一些东西,其中desktop这个是第一次用做个记录。其中开始菜单动态生成花了一天的时间,现在想想一开始把问题复杂化了,把自己做的东西拿出来,希望能给以后的同学一点建议。代码是在ext2的例子sample.js上改的   //测试数据 var data =[ {text:'应用平台管理',url:'null',filterUrl:'',appId:'0',menuId...
漏洞复现LVS精益价值管理系统 LVS.Web.ashx SQL注入漏洞
siu~
05-22 160
LVS精益价值管理系统 `/ajaxLVS.Web.AgencytaskList,LVs.Web.ashx` 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库`xp_cmdshell`可以执行任意命令,从而控制服务器。
LVS精益价值管理系统存在SQL注入漏洞
weixin_43167326的博客
05-23 846
LVS精益价值管理系统是由杭州吉拉科技有限公司开发的一款产品,LVS(Lean Value Stream)精益价值管理系统是一种旨在提高组织运营效率和降低成本的管理方法。该系统基于精益生产(Lean Production)思想,旨在 eliminator waste、maximize value和improve flow,其广泛应用于制造业、服务业、医疗业、金融业等领域,帮助组织提高运营效率、降低成本、改善质量和提高员工参与度。
漏洞复现LVS精益价值管理系统 DownLoad.aspx 任意文件读取漏洞
siu~
05-22 204
`LVS`精益价值管理系统 `DownLoad.aspx` 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件。
LVS-系统配置的参数net.ipv4.tcp_keepalive_time不生效
砚墨
07-29 2683
使用LVS做负载配置参数net.ipv4.tcp_keepalive_time不生效 问题: 为了节省TCP连接时间,我们选择建立几个固定的TCP长连接,然后把所有的消息平均分配的这几个TCP通道上传送给对方。 另一种情况:客户端和服务端之间是一个会话,要隔一段时间发个心跳。 现在出现了第三种情况,我是一个代理程序,要转发一个会话,让服务端和客户端都无感知;而且多个会话可以复用一个通路 (1)我需要在会话建立之前就建立连接; (2)没设计代理的心跳接口,我不能自己给后端发心跳; 但代理和后端之间隔着LVS
Failed to start LVS and VRRP High Availability Monitor.
风水道人
07-24 4715
Failed to start LVS and VRRP High Availability Monitor.
使用LVS和Keepalived搭建高可用负载均衡服务器集群
dvlinker的技术专栏
07-30 1897
详细讲解如何使用LVS和Keepalived搭建高可用负载均衡服务器集群。
LVS高可用web负载均衡配置手册.docx
11-29
LVS高可用web负载均衡配置手册.docx
学习网站集群架构设计LVS实现网络负载均衡实例精讲.ppt
11-12
网站集群架构设计LVS实现网络负载均衡实例精讲 本资源概括了网站集群架构设计的重要组件LVS(Linux Virtual Server),介绍了LVS的概念、架构、优点和缺点,并且详细讲解了LVS在实现网络负载均衡中的应用。 LVS的...
LVS集群系统网络核心原理分析(系统管理) .doc
09-09
摘要本文主要介绍了LVS系统采用2.4内核的NetFilter的功能实现负载均衡的基本原理和技术手段 主要介绍了3个比较重要的NetFilter钩子函数,最后描述了LVS的平衡算法 (2002 07 3***:30:20)By iamafanInternet的快速增长...
天涯LVS管理系统 v1.0.zip
07-06
天涯LVS管理系统是一个很方便管理LVS Keepalived负载均衡平台的B/S软件。   一、开发包 •func •certmaster •mysql5.0 •LAMP/LNMP CodeIgniter框架 •rrdtool •lvs-rrd   二、角色分配 •LVS...
部署LVS—DR群集
zx52306的博客
06-11 828
【代码】部署LVS—DR群集。
部署LVS-DR模式(附带详细实验)
F12138X的博客
06-11 864
盛年不重来,一日难再晨
LVS负载均衡集群企业级应用实战-LVS-DR(四)
最新发布
Lzcsfg的博客
06-14 683
在windows中应访问VIP,即192.168.226.136,打开即可看到信息,多次刷新,也可看到两个主机会切换。配置默认路由,这个IP就是虚拟主机中另一个nat模式的IP,这个IP要和真实服务器在同一个网段,这样才可以通信。三台虚拟机,统一关闭防火墙和selinux,配置好YUM源。添加虚拟服务器和真实服务器,并设置算法,这里用rr,然后保存规则。在设置中添加一块网卡,两个网卡都使用NAT模式,然后打开虚拟机。确保打开路由转发,加载sysctl.conf配置。查看ip,有两个不同网段IP就成功了。
部署LVS-DR群集...
qq_64335866的博客
06-11 150
disabled。
lvs+supply+error+detected.ABORT+ON+SUPPLY+ERROR+is+specified-aborting
03-07
LVS (Linux Virtual Server) 是一个开源的负载均衡软件,它可以将网络流量分发到多个服务器上,以提高系统的可用性和性能。而 "SUPPLY ERROR" 是指在 LVS 中出现了供应错误,即无法正常提供服务的错误。 当 LVS 配置中指定了 "ABORT ON SUPPLY ERROR" 选项时,如果出现供应错误,LVS 将会中止对该服务的提供。这意味着当 LVS 检测到某个后端服务器无法提供服务时,它将停止将流量转发到该服务器,并尝试将流量转发到其他可用的服务器上。 相关问题: 1. LVS 是什么? 2. LVS 如何实现负载均衡? 3. 什么是供应错误? 4. LVS 中的 "ABORT ON SUPPLY ERROR" 选项有什么作用? 5. LVS 还有其他的配置选项吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值