【漏洞复现】用友-畅捷通T+-Ufida-信息泄露

最新推荐文章于 2024-07-08 16:30:46 发布

.Rain.

最新推荐文章于 2024-07-08 16:30:46 发布

阅读量322

点赞数

分类专栏：漏洞复现文章标签： web安全漏洞复现

本文链接：https://blog.csdn.net/qq_44905116/article/details/135700584

版权

漏洞复现专栏收录该内容

369 篇文章 ¥39.90 ¥99.00

订阅专栏

超级会员免费看

本文详细介绍了用友畅捷通T+的管理软件及其存在的信息泄露漏洞。攻击者能通过构造特定数据包，可能导致敏感信息泄露。文章涵盖产品简介、漏洞概述、网络测绘和漏洞复现的步骤，其中重点讨论了如何获取和替换cookie来复现该漏洞。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

0x01 产品简介

用友畅捷通 T+是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

0x02 漏洞概述

用友畅捷通 T+某模块存在信息泄漏漏洞。攻击者可以通过构造恶意的数据包请求，导致敏感信息泄露或其他严重后果。

0x03 网络测绘

fofa: app="畅捷通-TPlus"

0x04 漏洞复现

获取cookie

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

.Rain.

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

【漏洞复现】用友-畅捷通T+-SQL注入-keyEdit

知黑而守白

07-05

731

用友畅捷通 T+是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。畅捷通T+ keyEdit.aspx接口处存在SQL注入漏洞，恶意攻击者可能会利用此漏洞修改数据库中的数据，例如添加、删除或修改记录，导致数据损坏或丢失。

【漏洞复现】用友-畅捷通T+-Ufida-SQL注入

知黑而守白

01-22

491

用友畅捷通 T+是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。用友畅捷通 T+某模块存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

参与评论您还未登录，请先登录后发表或查看评论

（附nuclei 批量验证文件）用友畅捷通T+ getdecallusers 存在信息泄露漏洞，可获取系统用户个人信息。

nglj9527的博客

05-29

581

用友畅捷通T+ getdecallusers 存在信息泄露漏洞，可获取系统用户个人信息。

【漏洞复现】用友畅捷通TPlus GetStoreWarehouseByStore .net反序列化漏洞

qq_34780861的博客

04-08

553

畅捷通T+专属云适用于需要一体化管理的企业，财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该漏洞属于.net反序列化场景中的 JavaScriptSerializer反序列化。

[未公开0day]畅捷通T+存在文件上传漏洞

最新发布

LiangYueSec的博客

07-08

514

[未公开0day]畅捷通T+存在文件上传漏洞

（附nuclei 批量验证文件）用友畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞(QVD-2023-20016)

nglj9527的博客

05-29

601

用友畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞(QVD-2023-20016)复现。

【漏洞复现】用友-畅捷通T+-App_Code-远程命令执行

知黑而守白

01-22

318

用友畅捷通 T+是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。用友畅捷通 T+某模块存在远程命令执行漏洞。攻击者可以通过构造恶意的数据包，成功注入并执行恶意命令，可能导致系统敏感信息泄露、篡改、服务器接管或其他严重后果。

【漏洞复现】用友-畅捷通T+-RRATableController-命令执行

知黑而守白

03-26

409

漏洞复现-用友UFIDA-YongYou系列

aming小老弟

10-03

2177

UFIDA是中国的一家知名企业软件公司，全称为用友软件股份有限公司（Yonyou Software Co . , Ltd . ）。该公司成立于 1988 年，总部位于北京，是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案，包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业，如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程，并提供数据分析和决策支持工具。

【复现】畅捷通T-Plus SQL注入漏洞_68

fushuang333的博客

04-08

887

【复现】畅捷通T-Plus SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，盗取用户的隐私以及个人信息，造成用户的信息泄露。

畅捷通T+密码清除工具

11-01

畅捷通T+密码清除工具，比直接数据库里修改方便多了。

畅捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现

qq_50854662的博客

11-09

5982

畅捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现

【附攻击载荷】畅捷通 T+ Ufida.T.SM.UIP.ScheduleManage存在SQL注入漏洞

jijisaq的博客

03-09

755

畅捷通 T+ 是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！畅捷通T+的某后台功能点只校验了权限，未对用户的输入进行过滤，导致在权限绕过后存在SQL注入漏洞，利用此漏洞攻击者最终可以实现远程命令执行。

畅捷通T+ 反序列化漏洞复现（QVD-2023-13615）

0xSec

06-23

4758

畅捷通 T+ 存在.net反序列化漏洞，未经过身份认证的攻击者可以通过构造恶意的序列化请求在目标服务器上执行任意命令。

【漏洞复现】用友畅捷通T+ SQL注入漏洞

2301_79099363的博客

07-13

1696

【漏洞复现】用友畅捷通T+ SQL注入漏洞

漏洞复现--用友畅捷通T+ .net反序列化RCE

qq_53003652的博客

10-25

1731

畅捷通T+是一款新型互联网企业管理软件。全面满足成长型小微企业对其灵活业务流程的管控需求，重点解决往来业务管理、订单跟踪、资金、库存等管理难题。该产品存在.net反序列化可导致RCE。访问执行命令的日志文件即test.txt。执行ipconfig /all。此脚本来自揽月安全团队。

畅捷通T+SQL注入漏洞

holyxp的博客

07-27

1030

畅捷通 T+ 是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。畅捷通T+的某后台功能点只校验了权限，未对用户的输入进行过滤，导致在权限绕过后存在SQL注入漏洞，利用此漏洞攻击者最终可以实现远程命令执行。

【漏洞复现1day】畅捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞

qq_34780861的博客

03-21

1419

畅捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞

用友畅捷通T+ keyEdit sql注入漏洞

Keepb1ue的博客

05-11

858

畅捷通 T+ 是一款灵动，智慧，时尚的基于互联网时代开发的管理软件，主要针对中小型工贸与商贸企业，尤其适合有异地多组织机构（多工厂，多仓库，多办事处，多经销商）的企业，涵盖了财务，业务，生产等领域的应用，产品应用功能包括：采购管理、库存管理、销售管理、生产管理、分销管理、零售管理、往来管理、现金银行管理、总账、移动应用等，融入了社交化、移动化、电子商务、互联网信息订阅等元素，为企业打造全新的生意模式、管理模式、工作模式。

用友T+12.3无限制版30站点安装教程

用友T+12.3版本的软件定位是为中小企业提供一个功能全面、操作简单、部署灵活的信息化管理平台。30站点的支持确保了中小规模企业的并发处理需求，而无限制软狗功能则大大减少了企业在硬件设备上的投入，简化了管理...