【漏洞复现】宏景HCM-SQL注入-downlawbase

最新推荐文章于 2024-06-05 08:50:04 发布
最新推荐文章于 2024-06-05 08:50:04 发布
阅读量415 收藏
点赞数 12
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/137602290
版权

目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x06 修复建议

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。

0x02 漏洞概述

该漏洞存在于宏景EHR人力资源管理系统的 showmediainfo 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。

0x03 网络测绘

icon_hash&#
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 12
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现宏景eHR showmediainfo SQL注入漏洞
qq_67810151的博客
04-20 255
宏景eHR /workbench/duty/showmediainfo接口存在SQL注入漏洞,攻击者可以通过该漏洞构造sql语句获取数据库信息。
宏景eHR SQL注入漏洞复现(CNVD-2023-08743)
0xSec
05-30 4889
宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1090
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
0day 未公开 宏景-pos_dept_post-sql注入漏洞复现
最新发布
weixin_43167326的博客
06-05 904
宏景人力资源管理系统是一款集招聘管理、员工信息管理、薪资福利管理、绩效管理等功能于一体的综合人力资源管理软件。该系统通过整合各项人力资源业务,实现了数字化、自动化管理,有效提升了企业的人力资源管理效率。系统支持灵活的指标项自定义,满足企业个性化需求,并提供了完善的统计分析工具,帮助管理者深入了解企业现状,洞察问题与趋势。此外,宏景人力资源管理系统还支持移动端应用,方便用户随时随地处理人力资源业务。
宏景-showmediainfo-mssql-delay-sql注入漏洞
weixin_43167326的博客
04-03 633
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
宏景customreport-SQL注入漏洞
weixin_43167326的博客
04-11 1049
宏景人力资源系统是一款先进且功能丰富的人力资源管理软件,旨在为企业提供全面、高效的人力资源管理解决方案。该系统结合了最新的互联网技术和先进的人力资源管理理念,特别适用于复杂单组织或多组织客户,尤其是集团化管理和跨地域使用的场景。宏景人力资源系统的主要功能包括但不限于人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理。此外,该系统还支持人事、绩效、培训、招聘、考勤等业务的自助操作,为用户提供了极大的便利。
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
2023-0Day(漏洞检测Tools)V1.6 HW-漏洞挖掘-src
08-23
17、畅捷通Plus_ajaxpro命令执行 18、用友NC/Cloud bsh_servlet_BshServlet命令执行 ...34、宏景HCM_SQL注入 35、华天动力OA未授权访问及SQL注入 36、致远OA_Ajaxdo_upload 37、亿赛通电子文档安全管理系统命令执行
辅助驾驶开发-系统方案-宏景智驾系统技术方案介绍
10-28
宏景智驾作为一家专注于自动驾驶技术研发的企业,其推出的辅助驾驶系统方案具有重要的研究和应用价值。 本方案主要围绕以下几个核心知识点展开: 1. **传感器融合**:宏景智驾的系统可能采用了多种传感器,如雷达...
宏景软件考勤管理解决方案.docx
11-16
宏景软件考勤管理解决方案 宏景软件考勤管理解决方案是人事工作中的一项根底性管理任务,为工资核算、劳动纪律管理、绩效考核等各项人事工作提供根底性信息。该解决方案提供了多种考勤方式和假期管理的考勤管理模块...
宏景软件考勤管理解决方案样本.doc
12-06
宏景软件考勤管理解决方案样本.doc 宏景软件考勤管理解决方案样本是一种人力资源管理系统的模块,旨在解决企业中的人事工作中的考勤管理问题。该解决方案能够满足不同单位的需求,提供了C/S和B/S两个版本的考勤模块...
CNVD-2023-08743:宏景HCM SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
11-07 1929
宏景HCM系统 categories处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
宏景eHR 任意文件上传漏洞
holyxp的博客
07-25 1214
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
复现宏景EHR SQL注入漏洞_32
fushuang333的博客
01-29 727
复现宏景EHR SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
宏景eHR 任意文件上传漏洞复现(0day)
0xSec
07-24 4495
宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
新接口-宏景OfficeServer-Readfiles任意文件读取-0day未公开漏洞
weixin_43167326的博客
02-27 1114
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。该软件存在任意文件上传漏洞漏洞点位于OfficeServer.jsp文件,攻击者可利用该漏洞上传webshell,从而获取服务器控制权。
某购物商城系统commodtiy接口处存在任意文件上传漏洞
weixin_43167326的博客
05-10 774
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
【1day】复现宏景HCM codesettree SQL注入漏洞(CNVD-2023-08743)
记录并分享学习安全的知识点..
07-26 1226
北京宏景世纪软件股份有限公司 HCM codesettree 接口存在SQL注入漏洞,攻击者通过漏洞可以获取到登陆系统的账号密码和数据库信息。
宏景e-PM:全员绩效管理的信息化解决方案
宏景世纪软件有限公司作为解决方案提供商,针对这些问题,提出了一套全员绩效管理解决方案,旨在帮助企业构建高效、可执行的绩效管理体系,从而改善绩效结果,增强组织执行力,适应不断变化的市场环境,提升企业的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值