【漏洞复现】宏景ehr-hcm-DisplayExcelCustomReport-文件读取

最新推荐文章于 2024-08-31 20:59:18 发布
最新推荐文章于 2024-08-31 20:59:18 发布
阅读量148 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/136361456
版权
本文介绍了宏景HCM系统中DisplayExcelCustomReport接口存在的文件读取漏洞,详细阐述了漏洞概述,网络测绘过程,并重点解析了漏洞复现的步骤,同时提到了使用Nuclei工具进行检测的可能性。
摘要由CSDN通过智能技术生成

目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

        宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。

0x02 漏洞概述

       宏景HCM系统 DisplayExcelCustomReport 接口存在文件读取漏洞。攻击者可以通过发送特

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
宏景eHR DisplayExcelCustomReport 任意文件读取漏洞复现
0xSec
02-28 714
宏景eHR DisplayExcelCustomReport接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
宏景ehr-hcm-codesettree-sql注入
weixin_43567873的博客
03-11 86
宏景ehr-hcm-codesettree-sql注入
大量存在-宏景-DisplayExcelCustomReport接口-任意文件读取漏洞-1day未公开漏洞
weixin_43167326的博客
02-28 401
宏景公司的产品具有多样化和高度创新的特点,涵盖了传动部件和智能驾驶两大领域。宏景公司凭借强大的研发实力和丰富的行业经验,不断创新和优化产品,以满足市场的多元化需求。无论是传动部件还是智能驾驶产品,宏景都致力于为客户提供卓越的性能、优质的服务和合理的价格,赢得了广大客户的信赖和好评。
漏洞复现宏景HCM人力资源信息管理系统——getSdutyTree——SQL注入
LongL_GuYu的博客
07-08 935
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。其getSdutyTree接口处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
漏洞复现宏景HCM人力资源信息管理系统——openFile-文件读取
LongL_GuYu的博客
06-29 628
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,其`openFile接口`存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
漏洞复现-宏景HJSOFT系列
aming小老弟
03-15 1342
宏景HCM--------------------------------------------fofa:app=“HJSOFT-HCM
漏洞复现宏景ehr-hcm-templates-文件读取
知黑而守白
01-11 227
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。宏景HCM系统templates接口存在文件读取漏洞。攻击者可以通过发送特定的POST请求,利用该漏洞获取系统敏感文件
漏洞复现宏景ehr-hcm-view-sql注入
知黑而守白
01-09 517
宏景eHR人力资源管理软件面向复杂单组织或多组织客户,支持流程,B/S架构。特别适合集团化管理和跨地域使用的产品,融合了最新的互联网技术和先进的人力资源管理理念和实践,更好地支持异地办公和网上流程,加强了人力资源业务的集中管理和协同,支持集团管控、目标管理、领导决策等应用。该漏洞具体涉及到View功能,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
宏景ehr-hcm-DisplayExcelCustomReport-文件读取
weixin_43567873的博客
03-04 67
宏景ehr-hcm-DisplayExcelCustomReport-文件读取
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1154
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
XXE漏洞原理+复现
test\\的博客
03-23 1451
XXE -“xml external entity injection"既”xml外部实体注入漏洞”。攻击者通过向服务器注入指定的xml实体内容,使服务器按照指定的配置进行执行,也就是说服务端接收和解析了来自用户端的xml数据,没有做严格的安全控制,从而导致xml外部实体注入。 DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申...
通达OA 从OA查询宏景人力资源系统中绩效工资审批情况(图文)
小飞鱼通达 二开
02-17 1463
应用了宏景人力资源管理系统后,工资模块一直在推进中,工资这部分确实复杂主要是涉及到的部门比较多实施起来需要多方的沟通协调。每个月在系统中需要部门经理做绩效部分的数据录入,宏景系统中只有管理员和企管部能查到数据的录入状态,其他人也不方便催促各部门经理来录入数据也不知道到底录到什么情况,很容易导致数据录入不及时而延误工资发放。为了辅助各部门考勤人提醒部门经理及时上报数据,编写了一个查询程序,来连接宏景
【网络安全】服务基础第一阶段——第八节:Windows系统管理基础---- Web服务与虚拟主机
最新发布
goldfish8848的博客
08-31 1139
万维网WWW是World Wide Web的简称,也称为Web、3W等。WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。WWW服务器通过超文本标记语言(HTML)把信息组织称为图文并茂的超文本,利用连接从一个站点跳到另一个站点。这样一来就彻底摆脱了以前查询工具只能按特定路径一步步的查找信息的限制WWW(World Wide Web,万维网)是存储在Internet计算机中数量巨大的文档的集合。这些文档称为页面,它是一种超文本(Hypertext)信息,可以用来描述超媒体。
【网络安全】网络安全中的常见攻击方式:被动攻击、主动攻击与中间人攻击
一定要站在自己热爱的生活里闪闪发光
08-27 432
在信息化时代,网络安全已经成为企业和个人都非常关注的领域。无论是个人隐私还是企业机密,随着互联网的广泛应用,保护这些信息免受攻击变得越来越重要。攻击者通过各种方式试图获取、篡改或破坏信息,这些方式大致可以分为被动攻击、主动攻击和中间人攻击三类。了解这些攻击方式有助于我们更好地保护自己的信息安全
人工智能在网络安全领域的应用探索
A526847的博客
08-29 1041
随着网络技术的飞速发展,网络安全问题日益凸显,成为制约数字化进程的重要瓶颈。人工智能(AI)作为一种变革性技术,正逐步在网络安全领域展现出其巨大的潜力和价值。本文旨在探讨人工智能在网络安全领域的应用现状、优势、挑战及未来发展趋势。
【网络安全】绕过输入验证
等风来
08-27 199
输入验证是检查用户输入的数据是否符合特定要求和约束的过程,这个过程通常发生在注册时填写信息时。它对于确保应用程序的安全性至关重要,因为不当的输入可能会引发严重的安全漏洞
网络安全之渗透测试实战-DC-3-靶机入侵
DoubleJing的博客
08-27 919
(2)但是目标主机处于内网环境是不可以被外网直接访问,只能主动将shell反弹出来.这种方式称作反弹shell,反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端,本质上是网络概念的客户端与服务端的角色反转。Web指纹定义:Web指纹是一种对目标网站的识别技术,通过识别网站所使用的服务器、运行的脚本、安装的CMS等信息对目标进行精准的分类和定位。获取本网段的主机信息,根据MAC地址比对来获取DC-3的IP地址。
网络安全系统性学习路线「全文字详细介绍」
HUANGXIN9898的博客
08-27 1506
🤟 基于入门网络安全打造的:👉黑客&网络安全入门&进阶学习资源包 一、基础与准备 网络安全行业与法规 想要从事网络安全行业,必然要先对行业建立一个整体的认知,了解网络安全对于国家和社会的作用,避免出现“一叶障目,不见森林”的情况。 Linux 操作系统(网安) 很多初学者也常忽略Linux的重要性,认为学习的重头戏在框架等方面,但其实Linux也是重中之重。 计算机网络基础 计算机网络基础是网络/运维工程师都需掌握的知识,但往往会被忽略。但是它是非常重要的。 HTML(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值