同享TXEHR V15人力管理平台DownloadFile接口任意文件下载漏洞复现 [附POC]

已于 2024-07-11 17:18:03 修改
阅读量214 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 网络 安全 web安全 系统安全
于 2024-07-11 17:16:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/140356591
版权

文章目录

同享TXEHR V15人力管理平台DownloadFile接口任意文件下载漏洞复现 [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

同享软件成立于1997年,运营中心位于东莞南城南新产业国际。专注研发和推广人力资源信息化产品,帮助企业构建统一的人力资源数智化平台,快速提高企业人才管理能力,提升人力资源管理效率,帮助员工快速成长,协助企业实现智慧决策。同享TXEHR V15人力管理管理平台DownloadFile存在任意文件下载漏洞。

0x03 影响版本

同享TXEHR V15人力管理平台

0x04 漏洞环境

FOFA语法:body=“/Assistant/Default.aspx”

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
专栏目录
订阅专栏
同享人力资源管理系统-TXEHR V15 hdlUploadFile.ashx 文件上传致RCE漏洞复现
0xSec
08-07 392
同享人力资源管理系统-TXEHR V15 hdlUploadFile.ashx 接口存在文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
TIA博途-积分运算库文件SCL算法-V15版本.zip
12-13
在工业自动化领域,西门子的TIA博途( Totally Integrated Automation Portal)是一个全面的工程软件平台,用于设计、编程、模拟和维护自动化系统。V15版本是TIA博途的一个更新,提供了更多功能和优化,以适应不断...
同享人力资源管理系统-TXEHR V15 DownloadTemplate 文件读取漏洞复现
0xSec
07-11 562
同享人力资源管理系统-TXEHR V15 DownloadTemplate.asmx 接口存在文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
同享人力资源管理系统-TXEHR V15 UploadHandler.ashx 任意文件上传漏洞复现
0xSec
08-02 236
同享人力资源管理系统-TXEHR V15 UploadHandler.ashx 接口存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
方天云智慧平台系统 Upload.ashx 任意文件上传漏洞复现
0xSec
07-31 1027
方天云智慧平台系统 Upload.ashx 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
同享人力资源管理系统UploadHandler.ashx存在文件上传漏洞
wan___she__pi的博客
08-23 147
同享人力资源管理系统"是一种多用户共享的人力资源管理软件系统,旨在帮助组织有效地管理员工信息和相关流程,集合了多用户访问、员工信息管理、招聘流程支持、绩效评估、培训管理、报表和分析、安全和权限控制等,通过提供一体化的管理工具,帮助组织提高人力资源管理效率、优化流程,并确保员工信息的安全和可靠性。
漏洞复现同享人力资源管理系统-TXEHR V15 DownloadTemplate 文件读取漏洞
qq_39894062的博客
07-17 477
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
同享人力资源管理系统-TXEHR V15 EmployeeInfoService.asmx SQL注入漏洞复现
0xSec
08-03 289
同享人力资源管理系统-TXEHR V15 EmployeeInfoService.asmx接口多个实例处SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
SIMATIC WinCC_面板映像文件_V15_链接地址.txt
07-20
SIMATIC WinCC_面板映像文件_V15_链接地址
S7-1200 PLC MODBUS通信轮询库文件V15版本.rar
11-06
《S7-1200 PLC MODBUS通信轮询库文件V15版本详解》 在工业自动化领域,SIMATIC S7-1200 PLC(可编程逻辑控制器)是西门子推出的一款高效、紧凑型的控制器,常用于中小型自动化系统。而MODBUS通信协议则是工业控制...
大势至企业共享文件管理软件、企业文件共享平台软件V10.5版本发布
10-01
《大势至企业共享文件管理软件、企业文件共享平台软件V10.5版本详解》 随着信息技术的不断发展,企业对于数据安全与高效共享的需求日益增强。大势至企业共享文件管理软件及企业文件共享平台软件V10.5版本的发布,...
U8V15.0成本管理PPT_U8V15成本管理_
09-30
2、广义的成本:是指为完成一定的任务,达到特定的目的而发生的人力、物力和财力耗费的货币表现。 成本是企业为生产产品、提供劳务而发生的各种耗费。 ——我国《企业会计制度》定义产品成本是生产者为生产一定种类...
​数据链路层——流量控制&可靠传输机制 ​
qq_25467441的博客
09-09 740
例题:一个信道的数据传输率为4kb/s ,单向传播时延为30ms ,如果使停止-等待协议的信道最大利用率达到80%,要求的数据帧长度至少为。设数据帧的长度为L比特,则发送方发送全部的数据需要时间:L/4。“停止-等待”就是每发送完一个分组就停止发送,等待对方确认,在收到确认后再发送下一个分组。因为是在讨论可靠传输的原理,所以并不考虑数据是在哪一个层次上传送的。发送方在一个发送周期内,有效地发送数据所需要的时间占整个发送周期的比率。数据链路层的流量控制是点对点的,而传输层的流量控制是端到端的。
200 Gb/s和400 Gb/s网络
dncsk的专栏
09-07 1432
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
[网络]HTTP协议 Cookie与Session
m0_74910646的博客
09-07 792
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
145-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务
DamnVanish的博客
09-07 867
Linux中最强权限维持rootkit
亚信安全出席第五届国际反病毒大会 探究AI现代网络勒索治理
亚信安全官方账号的博客
09-09 499
亚信安全出席活动并发表题为《AI时代下现代网络勒索治理》的演讲
网络分析仪仪器校准要怎么进行检测?容易出现哪些误差?
最新发布
2401_83476848的博客
09-12 270
误差修正是对已知校准标准的测量,这些测量值存储在分析仪的存储器之中,数据用于计算误差模型。系统误差是由矢量网络分析仪和测试设置之中的缺陷引起的,是重复性误差,并假设它不随时间变化。校准件的使用可以达到减少误差的目的。2.开关重复性误差:分析仪中用于切换源衰减器设置的机械式RF开关,有时当机械式RF开关被启动时,触点的闭合方式与上次启动时不同。通过仪器校准措施增强,消除反射测量之中的三个系统误差:指向性、源匹配、频率响应。:是由于仪器或测试系统仪器校准之后性能发生变化引起的,主要是温度变化引起的。
综合DHCP、ACL、NAT、Telnet和PPPoE进行网络设计练习
m0_62909438的博客
09-07 1158
通过学习到的DHCP、NAT、ACL、Telnet和PPPoE技术,进行综合实验配置,掌握这些技术的配置,了解其用法,加深命令印象。
SIEMENS SIMATIC NET PC 软件 V15 SP1 下载及安装
下载完成后,用户可以获得一个 1.2 GB的大型ISO镜像文件,或者一个 980.0 MB 的自解压缩存档文件。 **软件安装** 在安装 SIMATIC NET PC Software V15 SP1 之前,请务必阅读产品文档中的安装说明。安装过程中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值