飞企互联-FE企业运营管理平台 多处 SQL注入致RCE漏洞复现

已于 2024-06-28 09:33:39 修改
阅读量926 收藏
点赞数 17
分类专栏: 漏洞复现 文章标签: sql 安全 web安全
于 2024-06-28 09:31:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140032947
版权

0x01 产品简介

飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外,支持企业B2B、C2B与O2O等核心需求,为不同行业客户的互联网+转型提供支持。其特色在于提供云端工作环境,整合了人工智能、大数据分析和物联网设备管理,为不同行业客户的互联网+转型提供全面支持。通过智能化的决策支持和数据驱动的业务优化,企业可以更灵活、高效地运营业务,实现数字化转型的战略目标。

0x02 漏洞概述

飞企互联-FE企业运营管理平台 checkGroupCode、efficientCodewidget39、ajax_codewidget39等接口存在SQL注入漏洞,未经授权攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。

0x03 影响范围

version < 7.0

0x04 复现环境

FOFA:app="FE-协作平台"

0x05 漏洞复现

PoC-1

<
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
专栏目录
订阅专栏
飞企互联FE业务协作平台 ProxyServletUti 任意文件读取漏洞复现
0xSec
04-16 719
飞企互联 FE 业务协作平台 ProxyServletUti 接口存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
飞企互联-FE企业运营管理平台管理员权限登录绕过漏洞复现
qq_39573664的博客
12-29 852
飞企互联FE企业运营管理平台存在一个潜在的安全漏洞,涉及到2.ln接口的登录绕过问题。未经授权的攻击者可以通过构造恶意的URL访问页面,直接进入后台管理页面,获取敏感信息。这种漏洞可能为攻击者提供了进一步控制整个服务器的机会,对系统的安全性构成潜在威胁。
飞企互联-FE企业运营管理平台XSS漏洞
最新发布
2301_77012231的博客
07-29 280
漏洞简介飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。该系统存在xss跨站脚本漏洞FOFA:app="飞企互联-FE企业运营管理平台"
漏洞复现--飞企互联FE业务协作平台ShowImageServlet任意文件读取
qq_53003652的博客
11-20 397
FE办公协作平台是基于业务应用模型驱动开发技术与工作流的协作技术、采用了面向业务部件技术,实现应用开发、运行、管理、维护的信息管理平台。该产品ShowImageServlet 文件存在任意文件读取。
飞企互联-FE企业运营管理平台 多处登录绕过漏洞复现
0xSec
12-28 1759
飞企互联-FE企业运营管理平台2.ln、loginService.fe等接口处存在登录绕过漏洞,未授权的攻击者可构造恶意的url访问页面,可直接进入后台管理页面,获取敏感信息,进一步利用可控制整个服务器。
飞企互联-FE企业运营管理平台 druid路径 弱口令漏洞复现
0xSec
04-08 763
飞企互联-FE企业运营管理平台/druid/login.html 路径处的登录接口存在弱口令漏洞,未授权的攻击者可通过该漏洞直接进入后台管理页面,获取敏感信息,进一步利用可控制整个服务器。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 876
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
飞企互联-FE企业运营管理平台 videotexMonitor SQL注入漏洞复现
0xSec
01-31 814
飞企互联-FE企业运营管理平台 videotexMonitor接口存在SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。
飞企互联-FE企业运营管理平台 parseTree SQL注入漏洞复现
0xSec
02-23 487
飞企互联-FE企业运营管理平台 parseTree 接口存在SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。
漏洞复现飞企互联-FE企业运营管理平台——uploadAttachmentServlet——文件上传
LongL_GuYu的博客
07-10 983
飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。其`uploadAttachmentServlet`存在文件上传漏洞,导致恶意攻击者可以上传恶意后门、木马等,从而获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
漏洞复现飞企互联-FE企业运营管理平台——SQL注入
LongL_GuYu的博客
06-28 692
飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。其`treeXml.jsp`接口存在sql注入,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句
飞企互联企业运营管理平台存在任意文件读取
qq_36334672的博客
01-24 383
FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台飞企互联 FE 业务协作平台存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件获取大量敏感信息。
飞企互联-FE企业运营管理平台uploadAttachmentServlet存在任意文件上传漏洞
qq_36334672的博客
03-29 351
飞企互联-FE企业运营管理平台 uploadAttachmentServlet存在文件上传漏洞,攻击者可通过该漏洞在服务器端写入后门文件,任意执行代码,获取服务器权限,进而控制整个 web 服务器。
华夏ERP_v2.3.1最新版SQL注入RCE漏洞审计
华夏ERP_v2.3.1最新版SQLRCE的审计过程是指对华夏ERP_v2.3.1版本的审计过程,主要关注SQL注入漏洞和远程命令执行(RCE)的检测。该过程包括代码路径、软件版本、源码审计、数据流跟踪、权限检查、数据过滤、漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值