【漏洞复现】用友时空-KSOA-SQL注入-linkadd

最新推荐文章于 2024-07-25 15:33:59 发布
最新推荐文章于 2024-07-25 15:33:59 发布
阅读量110 收藏
点赞数 6
分类专栏: 漏洞复现 文章标签: sql 数据库 漏洞复现 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/140200079
版权

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业前沿的IT需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。

0x02 漏洞概述

用友时空KSOA linkadd接口处存在 SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。

0x03 网络测绘

app="用友-时空KSOA"
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞用友时空-KSOA-imagefield-sql注入
知黑而守白
03-26 110
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业前沿的IT需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实用友时空KSOA imagefield 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
【1day】用友时空KSOA平台 任意文件上传漏洞学习
记录并分享学习安全的知识点..
09-29 362
用友时空KSOA平台是由用友网络科技股份有限公司开发的一款企业级协同办公平台,旨在提高企业管理效率和协作效率。该平台提供了多种功能模块,包括组织管理、人力资源管理、工作流管理、知识管理、项目管理、文档管理等。用友时空KSOA平台存在任意文件上传漏洞,攻击者通过上传恶意文件,从而在Web服务器上执行未经授权的操作。
用友时空密码查看器
02-17
用友时空KSOA密码查看器
KSOA控制台admin账号密码
NO66781的专栏
04-15 990
在SQL跟踪在skmater中得到如下语句: select dzyid,dzycode,dzyname,kl,lgnname from zhiydoc where (beactive = '管' or dzyid = '00000000000') and lgnname = 'admin' 执行SQL得到KL 把KL解密码即可 SELECT dbo.GetPassWord('c4c7lvxqwjlsfyfd1teq3c3vpq0rck') ...
福建科立讯通信指挥调度管理平台 ajax_users.php SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
05-11 188
福建科立讯通信指挥调度管理平台 ajax_users.php SQL注入漏洞(含批量验证poc)
用友时空ccerp、ksoa zhiydoc表kl解密函数
05-27
放在数据库执行 使用方法 select dbo.jm_kl(kl),* from zhiydoc
用友时空ksoa仓储系统.doc
10-03
用友时空 KSOA 仓储系统拣货功能操作说明 用友时空 KSOA 仓储系统是基于某批发配送企业的仓库自动化管理系统,旨在实客户订单自动分解到各楼层,并由拣货人员自助索取拣货单。为了实这个功能,系统需要进行多个...
用友时空KSOA仓储系统.doc
10-03
用友时空KSOA仓储系统拣货功能操作说明 用友时空KSOA仓储系统是一种智能化的仓储管理系统,旨在提高仓储管理效率和准确性。在这个系统中,拣货功能是一个核心模块,旨在实自动化的拣货过程。下面是对用友时空KSOA...
用友时空CCERP/KSOA BS表单带参打开第三方程序
05-27
BS表单带参打开第三方程序 可以带多个参数 程序所在路径提前写到注册表BS可以读取注册表 如果CCERP或者KSOA是标准安装方式 A1模块可以直接读取exe文件所在路径 有不懂的可以联系
】某指挥调度管理平台 SQL注入漏洞_66
fushuang333的博客
03-20 539
​【】某指挥调度管理平台 SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
【1day漏洞】福建科立讯通信 指挥调度管理平台down_file.php?uuid存在SQL注入漏洞
qq_34780861的博客
03-27 209
福建科立讯通信 指挥调度管理平台SQL注入,黑客可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
SpringBlade dict-biz/list SQL 注入漏洞
0xSec
04-16 1365
​SpringBlade 后台框架/api/blade-system/dict-biz/list 路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
SQL Server报告服务的艺术:在SSRS中打造专业报告
2401_85760095的博客
07-20 1031
SQL Server Reporting Services是一个全面的报告解决方案,它允许从各种数据源生成杂的交互式和移动友好的报告。SSRS包括一个集成的开发环境,用于设计报告,以及一个部署环境,用于发布和共享报告。
【力扣】SQL题库练习5
最新发布
qq_40878316的博客
07-25 652
即按字母在字典中出顺序对字符串排序,字典序较小则意味着排序靠前。返回结果格式如下例所示。
sqlalchemy使用json_unquote函数的mysql like查询
ithongchou的博客
07-23 1085
为您自己的数据库连接信息,并根据实际表结构修改模型类。函数查询MySQL JSON字段可以通过使用。下面是一个示例,假设有一个名为。请确保替换示例代码中的数据库连接字符串(在SQLAlchemy中使用。的表,其中包含一个名为。
sql注入的专项练习 sqlilabs(含代码审计)
2401_82388450的博客
07-21 702
在做题之前先习了数据库的增删改查,然后自己用本地的环境,在自己建的库里面进行了sql语句的测试,主要是回顾了一下sql注入联合注入查询的语句和sql注入的一般做题步骤。1.获取当前数据库2.获取数据库中的表3.获取表中的字段名。
【YashanDB知识库】yasdb jdbc驱动集成BeetISQL中间件,业务(java)报autoAssignKey failure异常
cod0410的博客
07-25 103
BeetISQL中间件版本:2.13.8.RELEASE客户在调用BeetISQL提供的api向yashandb的表中执行batch insert并将返回sequence设置到传入的java bean时,报如下异常:影响业务流程正常执行,无法获得batch insert所关联数据库记录设置的sequence id。对此业务流程的解释说明:某表有两列,分别为tid(数据类型number), tname(数据类型varchar2)。其中tid不需要业务传入,其值应由另外一个yashandb的sequence自动
亚信安慧AntDB亮相PostgreSQL中国技术大会,获“数据库最佳应用奖”并分享数据库应用实践
weixin_44518445的博客
07-25 166
AntDB数据库始于2008年,在运营商的核心系统上,服务国内24个省市自治区的数亿用户,具备高性能、弹性扩展、高可靠等产品特性,峰值每秒可处理百万笔通信核心交易,保障系统持续稳定运行超十年,并在通信、金融、交通、能源、物联网等行业成功商用落地。在第13届PostgreSQL中国技术大会上,亚信安慧AntDB数据库凭借16年深厚行业累积,与参会的众多企事业单位深入交流、共同探索,期待未来能为更多企业提供更易用、更高效、更智能的产品和服务。两场精彩演讲,分享数据库全域替换和智能运维的最新技术进展。
力扣高频SQL 50 题(基础版)第四题
m0_70882914的博客
07-21 367
力扣高频SQL 50 题(基础版)第四题 584.寻找用户推荐人
用友时空KSOA9.0技术手册:多架构对比与部署指南
用友时空信息融通平台KSOA9.0技术手册》是由用友软件股份有限公司于2010年1月发布的一份全面指南,专为理解和部署KSOA9.0系统而设计。该手册主要分为五个部分,详尽地介绍了产品的架构设计、安装步骤、系统控制、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值