【漏洞复现】明源云ERP系统接口管家-ApiUpdate-任意文件上传(QVD-2023-20382)

已于 2024-01-30 09:03:11 修改
阅读量441 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
于 2024-01-29 14:39:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135911881
版权

目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

        明源云接口管家是明源云ERP提供的一个功能,用于管理和处理系统与外部系统之间的接口集成。它充当了ERP系统与其他应用程序、第三方系统或服务之间的桥梁,负责数据的传输、交换和同步。

0x02 漏洞概述

       明源云接口管家 ApiUpdate 接口存在任意文件上传漏洞,使攻击者能够上传包含恶意代码的文件到系统。通过成功利用该漏洞,攻击者可能执行恶意代码、伪装身份、覆盖合法文件,甚至导致拒绝服务情况。

0x03 网络测绘

body="接口管家站点正常!"
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
明源云ERP系统接口管家 ApiUpdate.ashx 任意文件上传漏洞(QVD-2023-20382)
0xSec
01-28 1097
明源云 ERP系统接口管家 ApiUpdate.ashx 文件存在任意文件上传漏洞,攻击者通过构造特殊的ZIP压缩包可以上传任意文件,进而控制整个服务器。
最新0day!!用友U8-Cloud UploadFile接口存在任意文件读取漏洞
weixin_43167326的博客
04-02 571
U8 cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。该系统存在任何文件读取漏洞
1day-明源云erp某接口存在SQL注入漏洞
weixin_43167326的博客
04-16 1064
明源云ERP产品旨在帮助企业实现数字化、智能化的管理,提高企业运营效率和核心竞争力。该系统某接口存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
ERP 管理软件系统存在任意文件读取漏洞
weixin_68647219的博客
08-01 3737
ERP 管理软件系统任意文件读取高危漏洞,该漏洞是由于对用户查看或下载的文件不做限制,可能导致读取配置信息甚至系统重要文件。严重的话,就可能导致SSRF,进而漫游至内网。
2023HW-8月(10-15)53个0day,1day漏洞汇总含POC、EXP
tangshuangsss的专栏
08-16 4547
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介2023HW-8月10-15号0day、1day漏洞汇总(已更新),包含以下漏洞需要自取。链接:https://pan.baidu.com/s/1Tr94yVFSHn_C6YiJcVprAw 提取码:6666通达OAsql注入漏洞 CVE-2023-4165 POC.. 2 通达OAsql注入漏洞 CVE-2023...
网络安全进阶学习第五课——文件上传漏洞
p36273的博客
07-03 4534
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。getimagesize()函数会读取目标文件的16进制,验证目标文件16进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型。通常在一个请求中,同样名称的参数只会出现一次,函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
明源云预计年亏超7亿元:被花旗下调评级,“人脸识别”遭质疑
beiduocaijing的博客
01-23 413
1月22日,明源云(HK:00909)发布盈利警告称,其预计2020年将录得归属股东净亏损6.9亿元至7.5亿元,2019年同期为归属股东净利润2.16亿元,相对变动-419.4%至-447.2%。 明源云表示,该亏损主要由于确认优先股的公允价值亏损约9.89亿元造成。差额已于2020年计入损益内。明源云称,计算经调整净利润时撇销相关项目(包括差额)的影响可更好地反映集团的相关经营业绩,并有助于进行期间比较。 根据盈利警告,明源云预计2020年将录得经调整净利润约3.3亿元至3.9亿..
明源天际MIP集成开发平台-培训笔记.zip
06-25
**明源天际MIP集成开发平台**是一个专为中小企业设计的高效开发工具,它以其轻量级的特性在国内市场上颇受欢迎。这个平台的核心在于提供一个整合的环境,以简化和加速开发流程,同时降低代码量,使得开发过程更加...
明源ERP项目-POM计划系统试点项目验收报告20120301-1.doc
06-22
明源ERP项目-POM计划系统试点项目验收报告20120301-1
vue2.x-mysoft-andrew:明源小管家-移动招领项目
05-10
明源小管家-移动招领项目 版本说明 v1.1 基于官方脚手架完成项目搭建 包括路由配置、模拟数据接口配置、项目结构设置等 v1.0 导入官方示例脚手架 文件结构 src ├── App.vue # 主组件 ├── assets │ ├── ...
20210806-辉立证券-明源雲-0909.HK-地产生态链数字化升级,SaaS产品净利润扭亏为盈.pdf
08-08
20210806-辉立证券-明源雲-0909.HK-地产生态链数字化升级,SaaS产品净利润扭亏为盈.pdf
20210509-太平洋证券-明源云-0909.HK-赋能地产生态链的耕“云”者.pdf
05-10
20210509-太平洋证券-明源云-0909.HK-赋能地产生态链的耕“云”者.pdf
【网络安全的神秘世界】XSS基本概念和原理介绍
weixin_54750312的博客
07-09 862
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
解读网络安全公司F5:助企业高效简化多云和应用部署
hanniuniu13的博客
07-09 406
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在中国的落地。、简化已有的网络战略的具体实践中,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境中管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境中扩展时,能够保持一致的安全措施和卓越的用户体验。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1243
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络设备安全
最新发布
weixin_48579910的博客
07-11 871
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
明源天际mip集成开发平台-培训笔记
09-23
明源天际MIP集成开发平台是一种基于云计算和大数据技术的集成开发平台,旨在帮助企业快速搭建、开发和部署业务应用。 在参加明源天际MIP集成开发平台的培训过程中,我学到了以下几点。 首先,我了解到明源天际MIP集成开发平台具有强大的功能和灵活的扩展性。通过该平台,我可以快速构建各种业务应用,满足企业不同的需求。无论是采购、人力资源还是财务,都可以通过平台进行快速集成和开发。 其次,我学会了使用明源天际MIP集成开发平台的开发工具和技术。平台提供了一套完整的开发工具和API接口,可以与企业原有的系统进行无缝集成。通过学习和使用这些工具和技术,我可以更加高效地进行开发工作。 另外,我还学到了明源天际MIP集成开发平台的部署和运维知识。平台支持灵活的部署方式,可以选择私有云、公有云或混合云等方式进行部署。在培训中,我学会了如何进行平台的部署和配置,并了解了平台的运维和监控等方面的知识。 最后,我认识到明源天际MIP集成开发平台的重要性和应用前景。随着企业业务的不断复杂化和需求的增长,集成开发平台将成为企业实现数字化转型的重要工具。通过学习和使用明源天际MIP集成开发平台,我可以更好地满足企业的需求,提高工作效率。 总而言之,参加明源天际MIP集成开发平台的培训让我对该平台有了全面深入的了解,掌握了相关的开发工具和技术,提高了自己的开发能力和应用水平。我相信在未来的工作中,我能够更好地利用这些知识,为企业的发展做出更大的贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值