【漏洞复现】明源云ERP系统接口管家-ApiUpdate-任意文件上传(QVD-2023-20382)

已于 2024-01-30 09:03:11 修改
阅读量465 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
于 2024-01-29 14:39:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135911881
版权

目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

        明源云接口管家是明源云ERP提供的一个功能,用于管理和处理系统与外部系统之间的接口集成。它充当了ERP系统与其他应用程序、第三方系统或服务之间的桥梁,负责数据的传输、交换和同步。

0x02 漏洞概述

       明源云接口管家 ApiUpdate 接口存在任意文件上传漏洞,使攻击者能够上传包含恶意代码的文件到系统。通过成功利用该漏洞,攻击者可能执行恶意代码、伪装身份、覆盖合法文件,甚至导致拒绝服务情况。

0x03 网络测绘

body="接口管家站点正常!"
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
明源云ERP系统接口管家 ApiUpdate.ashx 任意文件上传漏洞(QVD-2023-20382)
0xSec
01-28 1175
明源云 ERP系统接口管家 ApiUpdate.ashx 文件存在任意文件上传漏洞,攻击者通过构造特殊的ZIP压缩包可以上传任意文件,进而控制整个服务器。
明源天际MIP集成开发平台-培训笔记.zip
06-25
**明源天际MIP集成开发平台**是一个专为中小企业设计的高效开发工具,它以其轻量级的特性在国内市场上颇受欢迎。这个平台的核心在于提供一个整合的环境,以简化和加速开发流程,同时降低代码量,使得开发过程更加...
最新0day!!用友U8-Cloud UploadFile接口存在任意文件读取漏洞
weixin_43167326的博客
04-02 594
U8 cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。该系统存在任何文件读取漏洞
ERP 管理软件系统存在任意文件读取漏洞
weixin_68647219的博客
08-01 3779
ERP 管理软件系统任意文件读取高危漏洞,该漏洞是由于对用户查看或下载的文件不做限制,可能导致读取配置信息甚至系统重要文件。严重的话,就可能导致SSRF,进而漫游至内网。
2023HW-8月(10-15)53个0day,1day漏洞汇总含POC、EXP
tangshuangsss的专栏
08-16 4654
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介2023HW-8月10-15号0day、1day漏洞汇总(已更新),包含以下漏洞需要自取。链接:https://pan.baidu.com/s/1Tr94yVFSHn_C6YiJcVprAw 提取码:6666通达OAsql注入漏洞 CVE-2023-4165 POC.. 2 通达OAsql注入漏洞 CVE-2023...
网络安全进阶学习第五课——文件上传漏洞
p36273的博客
07-03 4597
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。getimagesize()函数会读取目标文件的16进制,验证目标文件16进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型。通常在一个请求中,同样名称的参数只会出现一次,函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
明源云预计年亏超7亿元:被花旗下调评级,“人脸识别”遭质疑
beiduocaijing的博客
01-23 414
1月22日,明源云(HK:00909)发布盈利警告称,其预计2020年将录得归属股东净亏损6.9亿元至7.5亿元,2019年同期为归属股东净利润2.16亿元,相对变动-419.4%至-447.2%。 明源云表示,该亏损主要由于确认优先股的公允价值亏损约9.89亿元造成。差额已于2020年计入损益内。明源云称,计算经调整净利润时撇销相关项目(包括差额)的影响可更好地反映集团的相关经营业绩,并有助于进行期间比较。 根据盈利警告,明源云预计2020年将录得经调整净利润约3.3亿元至3.9亿..
明源ERP项目-POM计划系统试点项目验收报告20120301-1.doc
06-22
明源ERP项目-POM计划系统试点项目验收报告20120301-1
vue2.x-mysoft-andrew:明源小管家-移动招领项目
05-10
明源小管家-移动招领项目 版本说明 v1.1 基于官方脚手架完成项目搭建 包括路由配置、模拟数据接口配置、项目结构设置等 v1.0 导入官方示例脚手架 文件结构 src ├── App.vue # 主组件 ├── assets │ ├── ...
20210806-辉立证券-明源雲-0909.HK-地产生态链数字化升级,SaaS产品净利润扭亏为盈.pdf
08-08
20210806-辉立证券-明源雲-0909.HK-地产生态链数字化升级,SaaS产品净利润扭亏为盈.pdf
20210509-太平洋证券-明源云-0909.HK-赋能地产生态链的耕“云”者.pdf
05-10
20210509-太平洋证券-明源云-0909.HK-赋能地产生态链的耕“云”者.pdf
网络安全之初始访问阶段攻防手段(三)
最新发布
子非渔
07-25 775
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
微软蓝屏事件:网络安全的多维挑战与应对策略
sinner小屋
07-23 708
微软蓝屏事件,这一近期震动全球科技界的重大事件,起因于一次看似平常的软件更新。美国电脑安全技术公司“众击”发布的更新包中隐藏着一个致命的“缺陷”,这个缺陷如同潜伏的病毒,一旦被激活,便在全球范围内引发了连锁反应。近850万台设备,从个人电脑到关键行业的服务器,无一幸免地遭遇了系统崩溃,屏幕上只剩下一片冰冷的蓝色。这一事件不仅影响了日常办公,更是波及了航空、医疗、传媒等关键领域,造成了航班延误、医疗服务中断、信息传播受阻等一系列严重后果。
网络安全等级保护制度1.0与2.0的演进与变革
gmqqcsdn的博客
07-23 671
等保1.0是我国在网络安全领域迈出的重要一步,它于2008年正式发布。该版本的等保制度以《信息安全技术 信息系统安全等级保护基本要求》为核心标准,主要聚焦于信息系统的物理安全、网络安全、主机安全、应用安全和数据安全等方面的基础防护。等保1.0的实施对于提高我国信息系统的安全防护水平起到了积极的推动作用,但随着网络环境的快速变化和新型威胁的不断出现,等保1.0的局限性也逐渐显现。
【网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃
par@ish的博客
07-22 1140
CrowdStrike的Falcon Sensor软件,上周导致大量Windows电脑出现蓝屏故障,现在还被发现Linux内核系统崩溃也与CrowdStrike有关。六月份,Red Hat警告其客户在使用版本为5.14.0-427.13.1.el9_4.x86_64的内核启动后,由Falcon Sensor进程引发的“Kernel panic”问题,影响了部分Red Hat Enterprise Linux 9.4用户。
“微软蓝屏”事件暴露了网络安全哪些问题?
csdn_aspnet的专栏
07-23 1145
这次由微软系统软件更新引发的“微软蓝屏”事件,无疑是对全球IT基础设施韧性与安全性的重大考验。850万台设备的故障,以及对航空、医疗和传媒等关键行业的广泛影响,再次突显出我们在网络安全和系统稳定性方面的脆弱性。一、问题解析1、更新管理的复杂性:随着技术的不断进步,软件更新的复杂性也在增加。大型系统中,需要兼顾各种硬件、软件和环境,确保更新不会引发兼容性问题,而这往往十分困难。2、供应链风险:如这次事件所示,一个小小的缺陷就可能通过供应链扩散,造成全球性影响。
黑龙江网络安全等级保护测评策略概述
waitaikong_的博客
07-21 569
黑龙江省网络安全等级保护测评策略是为了保障信息系统安全稳定运行,根据《网络安全法》和相关国家标准制定的综合性安全评估和加固过程。该策略不仅要求企业和机构明确自身信息系统的安全等级,还指导其实施相应的技术防护与管理措施,确保数据的保密性、完整性和可用性。
如何保护你的网络安全
m0_70655343的博客
07-15 1078
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
明源天际mip集成开发平台-培训笔记
09-23
平台提供了一套完整的开发工具和API接口,可以与企业原有的系统进行无缝集成。通过学习和使用这些工具和技术,我可以更加高效地进行开发工作。 另外,我还学到了明源天际MIP集成开发平台的部署和运维知识。平台支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值