【漏洞复现】用友-畅捷通T+-Ufida-信息泄露

最新推荐文章于 2025-03-27 20:16:19 发布
最新推荐文章于 2025-03-27 20:16:19 发布
阅读量342 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135700584
版权
本文详细介绍了用友畅捷通T+的管理软件及其存在的信息泄露漏洞。攻击者能通过构造特定数据包,可能导致敏感信息泄露。文章涵盖产品简介、漏洞概述、网络测绘和漏洞复现的步骤,其中重点讨论了如何获取和替换cookie来复现该漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x01 产品简介

        用友畅捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

0x02 漏洞概述

        用友畅捷通 T+某模块存在信息泄漏漏洞。攻击者可以通过构造恶意的数据包请求,导致敏感信息泄露或其他严重后果。

0x03 网络测绘

fofa: app="畅捷通-TPlus"

0x04 漏洞复现

获取cookie

了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞复现用友-捷通T+-SQL注入-keyEdit
知黑而守白
07-05 742
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。捷通T+ keyEdit.aspx接口处存在SQL注入漏洞 ,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
漏洞复现用友-捷通T+-Ufida-SQL注入
知黑而守白
01-22 495
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。用友捷通 T+某模块存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
(附nuclei 批量验证文件)用友 捷通T+ getdecallusers 存在信息泄露漏洞,可获取系统用户个人信息。
nglj9527的博客
05-29 595
用友 捷通T+ getdecallusers 存在信息泄露漏洞,可获取系统用户个人信息。
捷通T+勒索病毒事件看文件上传漏洞的攻防之道
dzqxwzoe的博客
08-02 1084
此次的勒索病毒事件与捷通T+软件供应链攻击直接相关。在遭遇勒索病毒攻击后,不光涉及到企业IT网络,工业网互联网络同样面临着病毒的威胁。因此,对于工业互联网的相关用户也应该予以重视。六方云一直致力于保护工业互联网安全,在工业安全领域拥有多项核心技术。其神探系列产品部署于工业互联网边界,及时精确发现、阻断已知和未知威胁,包括此次类似捷通T+的常规文件上传漏洞攻击。工业卫士则用于部署于核心服务器终端,及时扫描和查杀病毒。六方云团队将持续提供专业的产品及服务,切实帮助用户抵御工业互联网安全攻击。
视频管理平台-信息泄露漏洞
最新发布
ljh123321ljh的博客
03-27 159
EasyCVR 部分版本存在用户信息泄露漏洞,攻击者可直接通过此漏洞获取所有用户的账号密码。在fofa中寻找有漏洞的url。我们可以查看到用户的一些信息。
漏洞复现用友捷通TPlus GetStoreWarehouseByStore .net反序列化漏洞
qq_34780861的博客
04-08 567
捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该漏洞属于.net反序列化场景中的 JavaScriptSerializer反序列化。
[未公开0day]捷通T+存在文件上传漏洞
LiangYueSec的博客
07-08 518
[未公开0day]捷通T+存在文件上传漏洞
(附nuclei 批量验证文件)用友 捷通T+ RecoverPassword.aspx 管理员密码修改漏洞(QVD-2023-20016)
nglj9527的博客
05-29 625
用友 捷通T+ RecoverPassword.aspx 管理员密码修改漏洞(QVD-2023-20016)复现
复现捷通T-Plus SQL注入漏洞_68
fushuang333的博客
04-08 907
复现捷通T-Plus SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露
漏洞复现用友-捷通T+-App_Code-远程命令执行
知黑而守白
01-22 328
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。用友捷通 T+某模块存在远程命令执行漏洞。攻击者可以通过构造恶意的数据包,成功注入并执行恶意命令,可能导致系统敏感信息泄露、篡改、服务器接管或其他严重后果。
漏洞复现用友-捷通T+-RRATableController-命令执行
知黑而守白
03-26 418
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。用友捷通 T+某模块存在远程命令执行漏洞。攻击者可以通过构造恶意的数据包,成功注入并执行恶意命令,可能导致系统敏感信息泄露、篡改、服务器接管或其他严重后果。
捷通T+密码清除工具
11-01
捷通T+密码清除工具,比直接数据库里修改方便多了。
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 2206
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现
qq_50854662的博客
11-09 6048
捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现
【附攻击载荷】捷通 T+ Ufida.T.SM.UIP.ScheduleManage存在SQL注入漏洞
jijisaq的博客
03-09 776
捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
漏洞复现】脸爱云一脸通智慧管理平台SelOperators信息泄露漏洞
晚风不及你
04-24 178
深圳市优卡特电子有限公司脸爱云一脸通智慧管理平台存在SelOperators信息泄露漏洞,攻击者可以通过此漏洞获取当前系统用户敏感信息。
漏洞复现】【含fofa搜索语法】AVD-2024-28995 SolarWinds Serv-U FTP 目录遍历文件读取漏洞(CVE-2024-28995)
zzxx191z的博客
07-02 563
漏洞复现------SolarWinds是一款全球最受欢迎的IT统一运维监控管理平台,用于网络管理和监控工具。它可以监控、发现网络设备,易于使用,适用于中小企业和大型企业网络部署与搭建。
Tenda路由器 信息泄露漏洞复现
12-11 1088
Tenda是一家专门提供网络设备和解决方案的公司,其中最知名的产品之一是路由器。Tenda路由器在家庭和小型办公室中非常受欢迎,因为它们提供了稳定的无线网络连接和易于设置的功能。
漏洞复现】冰峰VPN存在敏感信息泄露漏洞
失心少年
01-02 1005
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!冰峰VPN log/system.log模块日志信息泄露漏洞
用友T+12.3无限制版30站点安装教程
用友T+12.3版本的软件定位是为中小企业提供一个功能全面、操作简单、部署灵活的信息化管理平台。30站点的支持确保了中小规模企业的并发处理需求,而无限制软狗功能则大大减少了企业在硬件设备上的投入,简化了管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值