【漏洞复现】用友-移动系统管理-backup-sql注入

最新推荐文章于 2024-08-13 15:09:42 发布
最新推荐文章于 2024-08-13 15:09:42 发布
阅读量81 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135771680
版权
本文详细介绍了用友移动系统管理中backup接口存在的SQL注入漏洞,包括漏洞概述、产品简介以及漏洞复现的过程。攻击者可能通过构造恶意SQL语句执行非法数据库操作,造成敏感信息泄露等风险。同时,文中提到了网络测绘和利用Nuclei工具进行漏洞检测的方法。
摘要由CSDN通过智能技术生成

目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

        用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。

0x02 漏洞概述

        用友移动系统管理 backup 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。

0x03 网络测绘

app="用友-移动系统管理" || 'title="Login" && body="移动系
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
用友时空 KSOA 多处SQL注入漏洞复现
0xSec
12-13 1425
用友时空 KSOA 系统 PayBill、QueryService、linkadd.jsp等接口处存在 sql 注入漏洞,攻击者可通过这些漏洞获取数据库权限,启用xp_cmdshell 可执行任意命令获取服务器权限。
漏洞复现用友-U8C-verify-sql注入
知黑而守白
02-28 106
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8Cloud verify 接口存在SQL注入漏洞,该漏洞使得攻击者可以通过构造精心设计的恶意SQL语句,成功执行未经授权的数据库操作。此漏洞可能导致敏感信息泄露、数据库被篡改或其他安全风险。
历年HW已公开漏洞专集!(目前漏洞库更新至84个,Goby持续更新...)
m0_46699477的博客
07-11 917
历年HW已公开漏洞专集!(目前漏洞库更新至84个,Goby持续更新...)。 截至2024年7月11日,Goby红队版已扩充以下历年HW已公开POC漏洞库,本次更新**84**个
史上最全!用友NC 漏洞汇总
2301_80115097的博客
12-01 1096
参数可以读取下列所有文件,在某些情况下可以读取利用目录穿越可读取/etc/passwd等文件。版本存在未授权文件上传漏洞,攻击者可以未授权上传任意文件,进而获取服务端控制权限。版本存在反序列化漏洞,攻击者可以执行系统命令,获取服务端权限。账户密码随便填,抓包将返回包0改为1,即可任意用户登录。在其中有个接口可以获取数据库账户密码,不过是老版本了。文件管理登录页面对用户名参数没有过滤,存在。ncDecode---用友nc数据库密码解密。存在远程命令执行漏洞,通过。用友NC-OA漏洞合集。
用友NC Cloud及YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞-1day未公开漏洞
weixin_43167326的博客
02-01 648
用友NC是指用友软件股份有限公司开发的一套企业管理软。用友NC系统是一种集成管理企业各项业务流程的信息化解决方案。该系统涵盖了财务、人力资源、供应链管理等多个方面,旨在帮助企业提高运营效率、优化资源利用、提升管理水平。
用友U8 Cloud ArchiveVerify SQL注入漏洞复现
0xSec
02-27 788
用友U8 Cloud ArchiveVerify接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
用友NC NCCLOUD BIP ldap公共入口uapjs漏洞补丁
QB2767846279
03-27 1730
ncc1909ldap公共入口漏洞补丁。ncc1909ldap公共入口漏洞补丁。ncc2005ldap公共入口漏洞补丁。ncc2005ldap公共入口漏洞补丁。nc633_ldap公共入口漏洞补丁。nc633_ldap公共入口漏洞补丁。nc65_ldap公共入口漏洞补丁。nc65_ldap公共入口漏洞补丁。nc63_ldap公共入口漏洞补丁。nc63_ldap公共入口漏洞补丁。nc57_ldap公共入口漏洞补丁。nc57_ldap公共入口漏洞补丁。
用友软件-财务管理会计讲义.pptx
11-29
总账系统作为财务管理系统的核心,与其他如应收应付、固定资产、工资管理等子系统并行运作,它们之间通过接口实现数据交互。例如,其他系统产生的凭证可以直接被总账系统接收,而UFO报表系统则可以利用财务数据生成...
用友软件-财务管理会计讲义.ppt
11-13
用友软件的财务管理系统与其他系统如应收应付、固定资产、工资管理、UFO报表等形成了紧密的集成关系: - 与应收应付系统、固定资产系统、工资管理系统接口:这些系统生成的凭证可以自动传递到总账系统,减少手工操作...
用友T6-企业管理软件安装及操作说明.doc
11-16
用友T6-企业管理软件安装及操作...* 运行用友T6-中小企业管理软件系统管理模块 * 登录注册 用友T6-企业管理软件是一款功能强大且灵活的企业管理软件,本文档指导用户如何正确安装和操作该软件,以满足企业管理的需求。
用友T6-人力资源管理软件用户手册.pdf
11-17
用友T6-人力资源管理软件用户手册.pdf
用友管理信息化课堂-应收款管理.ppt
11-12
用友管理信息化课堂-应收款管理系统概述 用友管理信息化课堂-应收款管理系统是一个基于计算机信息系统的管理工具,主要用于核算和管理客户往来款项。该系统可以记录销售、出口业务及其他业务所形成的对企业的往来...
复现用友u8CRM 日志信息泄露 漏洞_12
fushuang333的博客
01-08 664
复现用友u8CRM 日志信息泄露,U8是一款专为代理销售服务行业设计的集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。
用友NC down/bill SQL注入漏洞复现(XVE-2024-9469)
0xSec
05-01 760
用友NC //portal/pt/erfile/down/bill接口的id参数存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 813
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 798
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
《密码编码学与网络安全原理与实践》第十一章、第十二章、第十三章 数据完整性算法
最新发布
m0_57291352的博客
08-13 779
认证函数与保密函数的分离能提供结构上的灵活性(认证与保密可在网络协议的不同层次进行);f函数在每个输入消息块被Hash时执行一次,函数的输入是1600位的状态变量s,将s转换为由64位纵构成的5*5矩阵,然后函数对矩阵执行24圈操作,每一圈包括5个步骤,每个步骤通过置换或代换操作作对状态矩阵进行更新。如果算法使用伪随机函数(PRF)来产生诸如会话密码密钥之类的值,那么要求仅有PRF的使用者知道种子,如果该算法用于产生流密码的加密密钥流,那么种子的作用是仅为发送方和接收方知道的密钥。64]中的四分之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值