【漏洞复现】用友 GRP-U8 operOriztion Sql注入漏洞

于 2024-10-04 00:02:53 发布
阅读量63 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: sql 数据库 网络安全 安全 web渗透 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41924764/article/details/142427377
版权

免责声明:

        本文旨在提供有关特定漏洞的信息,以帮助用户了解潜在风险。发布此信息旨在促进网络安全意识和技术进步,并非出于恶意。读者应理解,利用本文提到的漏洞或进行相关测试可能违反法律或服务协议。未经授权访问系统、网络或应用程序可能导致法律责任或严重后果。作者对读者基于本文内容的行为不承担责任。读者在使用信息时必须遵守适用法律法规和服务协议,独自承担所有风险和责任。如有侵权,请联系删除。

产品简介

        用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件,能够协助企业实现资源的高效管理,优化企业运营流程,提升整体管理水平。

漏洞描述

        用友 GRP-U8 operOriztion 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。

网络空间测绘

Fofa

product
了解本专栏 订阅专栏 解锁全文 超级会员免费看
凝聚力安全团队
关注
专栏目录
订阅专栏
用友GRP-U8 operOriztion SQL注入漏洞复现
0xSec
04-18 474
用友GRP-U8R10行政事业内控管理软件/services/operOriztion 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
漏洞复现用友 GRP-U8 Proxy SQL注入
凝聚力安全团队
07-07 340
用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件,能够协助企业实现资源的高效管理,优化企业运营流程,提升整体管理水平。用友 GRP-U8 Proxy 存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限
用友GRP-U8 operOriztion SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-28 135
用友GRP-U8 operOriztion SQL注入漏洞(含批量验证poc)
用友GRP-U8 SQL注入漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
09-26 1771
用友GRP-U8 SQL注入漏洞复现
漏洞情报-用友 GRP-U8 SQL 注入漏洞
2301_77012231的博客
08-10 277
用友 GRP-U8 是一款功能强大的财务管理软件,可以帮助企业快速、准确地进行财务核算和资金管理。用友 GRP-U8 存在多个SQL注入漏洞。2、通过防⽕墙等安全设备设置访问策略,设置⽩名单访问。1、如⾮必要,禁⽌公⽹访问该系统。3、升级产品到最新版本。可以getshell。
漏洞复现用友GRP-U8 operOriztion SQL注入漏洞
qq_67810151的博客
04-19 223
用友GRP-U8 /services/operOriztion接口存在SQL注入漏洞,未授权的攻击者可以通过该漏洞获取数据库敏感信息。
用友 GRP-U8 存在sql注入漏洞复现
zkaqlaoniao的博客
10-30 1283
Track 安全社区 — 掌控安全在线教育- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者info:name: 用友GRP-U8 License Check漏洞requests:path:kjnd=1';matchers:dsl:还没看够?可以关注~免费领取安全学习资料包!(私聊进群一起学习,共同进步)渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
用友GRP-U8 userInfoWeb SQL注入致RCE漏洞复现 (XVE-2024-10539)
qq_39894062的博客
05-14 649
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
用友GRP-U8 listSelectDialogServlet SQL注入漏洞复现
0xSec
02-05 522
用友GRP-U8R10行政事业内控管理软件listSelectDialogServlet 接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
用友GRP-U8 u8qx 存在SQL注入漏洞
weixin_43167326的博客
05-28 1365
用友GRP-U8R10行政事业内控管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。用友GRP-U8 sqcxIndex 接口处存在SQL注入漏洞 ,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
漏洞复现用友 GRP-U8 bx_historyDataCheck.jsp Sql注入漏洞
凝聚力安全团队
07-21 250
用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件,能够协助企业实现资源的高效管理,优化企业运营流程,提升整体管理水平。用友 GRP-U8 bx_historyDataCheck.jsp 存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限
sql server每天定时执行sql语句
doubleintfloat的博客
09-27 418
2、鼠标右击【SQL Server 代理】,选择【启动(S)】,如已启动,可以省略此步骤;3、右键,新建-》作业,在作业上-》新建作业,然后在作业上右键-》属性。1、打开SQL Server Management Studio。结果如下 , 定时每个10秒向数据库里插入一条数据。作业名称,数据库语句。
Linux云计算 |【第四阶段】NOSQL-DAY2
小安的运维专栏
09-26 1209
Redis集群概述、部署Redis集群(配置manage管理集群主机、创建集群、访问集群、添加节点、移除节点)
PostgreSQL的表碎片
文牧之的博客
09-29 488
表碎片化是指表数据在文件系统中的不连续存储,导致读取和写入操作的效率降低。频繁的插入和删除:导致数据块中出现“空洞”。更新操作:由于 PostgreSQL 的 MVCC(多版本并发控制)机制,更新操作会生成新的行版本,原来的空间会被标记为可重用但是不立即回收。
实用SQL小总结
UntifA的博客
09-29 1301
SQL记录
PostgreSQL 字段使用pglz压缩测试
最新发布
文牧之的博客
09-30 375
创建测试表1,并插入1000w行数据–创建测试表2,使用 pglz压缩字段,并插入1000w行数据对比表yewu1.test1和yewu1.test2的大小,没体现出压缩了。
sql中的regexp与like区别
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-26 5291
对于字符串数据的模糊匹配,REGEXP(正则表达式)和LIKE是两个非常有用的操作符。
SQL中基本SELECT语句及常见关键字的使用(内连接,左/右连接)
qq_43800449的博客
09-29 874
DDL(Data Definition Languages)语句:数据定义语言,这些语句定义了不同的数据段、数据库、表、列、索引等数据库对象的定义。常用的语句关键字主要包括 create 、 drop 、 alter 、create等。DML(Data Manipulation Language)语句:数据操纵语句,用于添加、删除、更新和查询数据库记录(增删改查),并检查数据完整性,常用的语句关键字主要包括 insert 、 delete 、 update 等。
用友GRP-U8高校内控管理软件 漏洞
07-28
引用\[1\]: 用友GRP-U8R10行政事业财务管理软件存在任意文件上传漏洞,攻击者可以通过该漏洞获取服务器权限。\[1\]该漏洞源于应用程序解析XML输入时没有禁止外部实体的加载,导致可加载恶意外部文件。最终产生两种后果,一是可以进行SQL注入,执行SQL语句;二是导致命令执行,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。\[3\]因此,用友GRP-U8高校内控管理软件也可能存在类似的漏洞。请及时更新软件版本或采取其他安全措施以防止潜在的攻击。 #### 引用[.reference_title] - *1* [用友GRP-U8 U8AppProxy任意文件上传漏洞复现+利用](https://blog.csdn.net/qq_41904294/article/details/129693405)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [用友 GRP-U8 Proxy XXE-SQL注入漏洞](https://blog.csdn.net/weixin_46944519/article/details/127225867)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凝聚力安全团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值