【漏洞复现】宏景ehr-hcm-view-sql注入

已于 2024-01-18 10:17:21 修改
阅读量518 收藏 7
点赞数 8
分类专栏: 漏洞复现 文章标签: sql 数据库
于 2024-01-09 16:01:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135482450
版权
本文详细介绍了宏景eHR人力资源管理软件中View功能存在的SQL注入漏洞,攻击者可通过构造恶意SQL执行数据库操作,引发敏感信息泄露、数据库篡改等问题。复现过程包括网络测绘和利用工具Nuclei进行检测。
摘要由CSDN通过智能技术生成

目录

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x01 产品简介

        宏景eHR人力资源管理软件面向复杂单组织或多组织客户,支持流程,B/S架构。特别适合集团化管理和跨地域使用的产品,融合了最新的互联网技术和先进的人力资源管理理念和实践,更好地支持异地办公和网上流程,加强了人力资源业务的集中管理和协同,支持集团管控、目标管理、领导决策等应用。

0x02 漏洞概述

        该漏洞具体涉及到View功能,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。

0x03 网络测绘

app="HJSOFT-HCM" || body="宏景" || body="hj-hy-all-one-logo" || body="/general/sys/hj
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
【1day】复现宏景HCM codesettree SQL注入漏洞(CNVD-2023-08743)
记录并分享学习安全的知识点..
07-26 1290
北京宏景世纪软件股份有限公司 HCM codesettree 接口存在SQL注入漏洞,攻击者通过漏洞可以获取到登陆系统的账号密码和数据库信息。
宏景eHR SQL注入漏洞复现(CNVD-2023-08743)
失心少年
06-20 1241
版权声明:本文为CSDN博主「OidBoy_G」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/qq_41904294/article/details/130944159。宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR < 8.2。
漏洞复现宏景HCM-LoadOtherTreeServlet SQL注入
最新发布
weixin_54799594的博客
07-11 1136
漏洞复现过程记录
宏景eHR 任意文件上传漏洞
holyxp的博客
07-25 1300
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1155
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
宏景eHR sduty/getSdutyTree SQL注入漏洞复现
0xSec
07-04 664
宏景eHR /servlet/sduty/getSdutyTree 接口处存在SQL注入漏洞,,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
漏洞复现宏景ehr-hcm-khfieldtree-sql注入
知黑而守白
01-09 486
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 khfieldtree 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景ehr-hcm-loadhistroyorgtree-sql注入
知黑而守白
01-09 426
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 loadhistroyorgtree 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景ehr-hcm-templates-文件读取
知黑而守白
01-11 227
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。宏景HCM系统templates接口存在文件读取漏洞。攻击者可以通过发送特定的POST请求,利用该漏洞获取系统敏感文件
漏洞复现宏景ehr-hcm-fileDownLoad-sql注入
知黑而守白
01-11 230
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。宏景HCM系统fileDownLoad接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。环境,执行如下命令启动。
宏景eHR fieldsettree 接口处存在SQL注入漏洞-未公开1Day漏洞复现
weixin_43167326的博客
02-08 659
宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。
漏洞复现宏景HCM人力资源信息管理系统——openFile-文件读取
LongL_GuYu的博客
06-29 634
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,其`openFile接口`存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
漏洞复现宏景-HCM-report_org_collect_tree-sql注入
知黑而守白
03-21 124
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。浙大恩特客户资源管理系统 report_org_collect_tree 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景HCM人力资源信息管理系统——getSdutyTree——SQL注入
LongL_GuYu的博客
07-08 935
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。其getSdutyTree接口处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
CNVD-2023-08743:宏景HCM SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
11-07 2172
宏景HCM系统 categories处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
1day CRMEB开源电商系统 products 接口处存在SQL注入
weixin_43167326的博客
06-18 484
CRMEB开源电商系统是遥遥领先的开源电商系统,框架采用Tp6+MySQL+elementUI+uniapp,商城系统可商用;前后台都支持风格切换,包含小程序商城、H5商城、公众号商城、App,支持多语言、分销、拼团、砍价、秒杀、优惠券、积分、抽奖、会员等级、小程序直播、页面DIY,前后端分离,方便二开,使用文档、接口文档、数据字典、代码生成、二开文档/视频教程。
复现宏景HCM 任意文件读取漏洞_63
fushuang333的博客
03-03 1024
复现宏景HCM 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值