浙大恩特MailAction.entphone;.js任意文件上传(含批量验证poc)

已于 2024-04-07 14:00:45 修改
阅读量75 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-04-07 14:00:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137461852
版权
本文介绍了浙大恩特客户资源管理系统中的MailAction.entphone.js文件上传漏洞,包括漏洞概述、复现过程、Tscan POC验证方法以及修复建议。攻击者可利用此漏洞上传恶意脚本,影响服务器安全。
摘要由CSDN通过智能技术生成

0x01 漏洞概述

杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。该系统的MailAction.entphone接口存在文件上传漏洞,恶意攻击者可通过该漏洞上传恶意脚本,最终可导致服务器失陷。

搜索语法
fofa语法查找:app=”浙大恩特客户资源管理系统”

0x02 漏洞复现

登录页面

image.png

访问系统抓包,查看响应包中是否回显上传路径

image.png

访问返回的文件路径,成功上传。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
浙大恩特客户资源管理系统CustomerAction.entphone;.js 接口任意文件上传漏洞复现 [附POC]
薛定谔嘚喵博客
11-17 313
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。该系统CustomerAction.entphone;.js 接口允许攻击者向系统上传任意恶意JSP文件,从而可能导致潜在的远程执行代码攻击。该漏洞可能会对系统的完整性和安全性产生严重影响。
浙大恩特-CRMCustomerAction文件上传批量验证poc
weixin_43567873的博客
04-07 202
浙大恩特-CRMCustomerAction文件上传批量验证poc
漏洞复现-浙大恩特客户资源管理系统CustomerAction.entphone;.js 接口任意文件上传漏洞(附漏洞检测脚本)
jjjj1029056414的博客
12-15 645
漏洞复现-浙大恩特客户资源管理系统CustomerAction.entphone;.js 接口任意文件上传漏洞,附带自己写的poc脚本
浙大恩特客户资源管理系统-MailAction-AppUpload-任意文件上传批量验证poc
2401_83974117的博客
04-14 384
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
浙大恩特CRMfileupload.jsp任意文件上传批量验证poc
weixin_43567873的博客
04-07 67
浙大恩特CRMfileupload.jsp任意文件上传批量验证poc
浙大恩特客户资源管理系统-MailAction-AppUpload-任意文件上传批量验证poc)(1)
m0_62261166的博客
04-16 402
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。
浙大恩特CRM-machord_doc.jsp任意文件上传批量验证poc
weixin_43567873的博客
04-07 100
浙大恩特CRM-machord_doc.jsp任意文件上传批量验证poc
浙大恩特CRM前台任意文件上传漏洞(批量验证poc
weixin_43567873的博客
04-09 111
浙大恩特CRM前台任意文件上传漏洞(批量验证poc
浙大恩特CRMMailAction 接口存在任意文件上传批量验证poc
2401_83947255的博客
04-20 309
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
10-10 1398
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
10-15 753
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全的全面指南
qq_42568323的博客
10-09 1267
网络安全是指保护计算机网络及其数据免受未经授权访问、攻击或破坏的过程。其目标是确保信息的机密性、完整性和可用性。
2024年网络安全进阶手册:三个月黑客技术自学路线
2401_85027336的博客
10-12 1141
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络攻击的新趋势:勒索软件与零日漏洞
A526847的博客
10-12 939
随着数字化技术的飞速发展网络攻击的新趋势:勒索软件与零日漏洞,网络攻击的形式也在不断演变。近年来,勒索软件和零日漏洞已成为网络攻击中的两大新趋势,给个人、企业和政府机构带来了巨大的安全威胁。本文将深入探讨这两种网络攻击手段的特点、危害以及防范措施。
【网络安全】1,600$:Auth0 错误配置
等风来
10-13 234
Auth0 是一个广泛用于网站和应用程序的身份验证平台,负责管理用户身份并确保其服务的安全访问。该平台提供了多种工作流程,以无缝集成登录和注册流程。
网络安全公司及其主要产品介绍
xixixi7777的博客
10-13 367
各大安全公司提供的网络安全产品针对不同的企业需求和网络架构,涵盖从端点安全、网络安全到云安全的全方位解决方案。在选择网络安全产品时,企业应结合自身的网络规模、威胁类型和业务需求,选择适合的产品组合,以建立健全的网络安全体系。Huawei Cyber Security Intelligence System(CIS):基于大数据的安全智能平台,支持安全威胁的早期检测和响应。FireEye Helix:集成SIEM和安全运营中心功能的安全管理平台,提供集中化的威胁管理和自动化响应。
等保测评:如何建立有效的网络安全监测系统
2301_79955948的博客
10-10 844
通过上述步骤,可以建立一个符合等保测评要求的有效网络安全监测系统,确保网络系统的安全稳定运行,并满足国家网络安全法规的要求。:在网络安全监测系统的建设中,既要关注网络安全技术的实施,如防火墙、入侵检测系统,也要重视安全管理制度的建立,如安全策略、应急响应计划。:首先,需要根据信息系统的安全性要求、资产的重要性和风险程度等因素,确定网络系统的安全等级,并选择相应的等保测评标准和方法。:根据测评和渗透测试的结果,对网络安全监测系统进行必要的整改和优化,以确保其完全符合等保的要求。
网络安全(黑客)——自学2024
2401_84466325的博客
10-10 2077
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
浙大恩特外贸客户管理系统操作指南
"浙大恩特外贸客户管理系统使用手册" 浙大恩特外贸客户管理系统是一款专为外贸企业设计的高效管理工具,旨在帮助企业管理客户信息、跟进进度、销售计划以及日常运营。本手册详细介绍了系统的安装、使用和各项功能的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值