【漏洞复现】用友-畅捷通T+-Ufida-SQL注入

最新推荐文章于 2024-06-02 08:59:14 发布
最新推荐文章于 2024-06-02 08:59:14 发布
阅读量222 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135700295
版权

目录

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x01 产品简介

        用友畅捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

0x02 漏洞概述

        用友畅捷通 T+某模块存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。

0x03 网络测绘

fofa: app="畅捷通-TPlus"

0x04 漏洞复现

POST /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,U
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
捷通T+ SQL注入漏洞复现(QVD-2023-13612)
0xSec
06-14 3639
捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
复现捷通T-Plus SQL注入漏洞_65
fushuang333的博客
03-17 775
复现捷通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
【附攻击载荷】捷通 T+ Ufida.T.SM.UIP.ScheduleManage存在SQL注入漏洞
jijisaq的博客
03-09 564
捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
捷通TPlus 存在KeyInfoList.aspx SQL注入漏洞
wan___she__pi的博客
04-08 544
捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。捷通TPlus KeyInfoList.aspx存在SQL注入漏洞。app="捷通-TPlus"
0day漏洞-捷通TPlus Ufida.T.DI.UIP.ashx存在远程命令执行漏洞 附POC软件
weixin_43167326的博客
03-18 763
捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。捷通TPlus存在远程命令执行漏洞
漏洞复现用友捷通T+ SQL注入漏洞
2301_79099363的博客
07-13 1321
漏洞复现用友捷通T+ SQL注入漏洞
漏洞复现1day】捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
qq_34780861的博客
03-21 556
捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
捷通T+SQL注入漏洞
holyxp的博客
07-27 805
捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
用友C-UFIDA实施方法论V5.0-项目管理.ppt
01-02
用友C-UFIDA实施方法论V5.0-项目管理.ppt
用友C-UFIDA实施方法论V5.0-实施指南.ppt
01-02
用友C-UFIDA实施方法论V5.0-实施指南.ppt
T+二开 级联自由项(极简扩展方法)
03-26
内容概要:通过JS扩展,自定义服务实现单据自由项级联需求开发 适合人群:捷通T+二开人员
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
用友-Ufida-Yonyou:03-XX地产集团项目管理系统调研问卷v1.0.doc
06-22
用友-Ufida-Yonyou:03-XX地产集团项目管理系统调研问卷v1.0
【网络安全的神秘世界】VsCode直连虚拟机
weixin_54750312的博客
05-31 599
连接成功,回到原始vscode界面,可以点击打开文件夹。右击VScode中左下角的绿色区域,勾选远程主机。通过VsCode连接虚拟机,可以进行远程操作。打开远程资源管理器,点击+号,配置连接服务器。再次输入密码后,进入Linux文件夹。hostname:主机名,随便起。host:打开kali,用。User:虚拟机的用户名。
计算机网络——网络安全
最新发布
2303_77543831的博客
06-02 721
网络系统中的硬件,软件及其系统中的数据受到保护。网络安全概述网络安全网络安全计算机网络面临的威胁主要分为两大类主动攻击被动攻击网络系统的特性保密性完整性可用性可靠性不可依赖性加密和交互加密和解密加密手段公匙和私匙对称加密非对称加密数字签名的四大特点防火墙防火墙的区域们
【网络安全的神秘世界】MySQL
weixin_54750312的博客
05-31 399
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。
网络安全中攻击溯源方法
2301_76786857的博客
05-29 1077
攻击溯源可以帮助用户对攻击放进行锁定放入数据库,可以帮助其他用户进行态势感知,同时可以协调相关组织打击违法犯罪行为,避免下一次的攻击。2、分析攻击特征:通过分析攻击事件的特征,如攻击方式、攻击时间、攻击目标等,来确定攻击类型和攻击者的特点。4、分析攻击工具:通过分析攻击者使用的工具、恶意代码等,确定攻击者的攻击技术和水平,进而锁定攻击者身份。5、建立攻击链路:通过对攻击事件的各个环节进行分析,建立攻击链路,找到攻击者入侵的路径和方法。1、收集证据:收集攻击事件的各种证据,包括日志、网络数据包、磁盘镜像等。
有哪些ERP嵌入了企业微信
06-08
2. UFIDA ERP:UFIDA作为国内知名的ERP软件厂商,也已经在企业微信中推出了相关功能,如采购审批、销售管理、库存管理、财务管理、人力资源管理等。 3. Kingdee ERP:金蝶作为国内知名的ERP软件厂商,也已经在企业...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值