汉王人脸考勤管理系统SQL注入RCE

已于 2023-08-22 14:32:38 修改
阅读量910 收藏
点赞数 2
分类专栏: 0.漏洞文库 文章标签: web安全 代码审计 渗透测试 漏洞复现 红队攻防 漏洞分析
于 2023-08-02 06:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48899364/article/details/132051041
版权

忘掉!忘掉温暖,忘掉温柔,忘掉一切享乐,而把饥饿、寒冷、受辱、受苦当做自己的正常生活······

漏洞描述

汉王人脸考勤管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息并Getshell。

漏洞复现

访问漏洞url:
抓取登录的请求包
其中strName参数存在注入
在这里插入图片描述
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN:
https://blog.csdn.net/weixin_48899364
了解本专栏 订阅专栏 解锁全文 超级会员免费看
汉王人脸考勤管理系统 万能密码登录 漏洞复现
失心少年
06-27 3798
fofa:title==“汉王人脸考勤管理系统”用户名:or’ or 1=1–
红队攻防文库
如果巅峰留不住,那就重走来时路
08-23 628
各家兴便是天下大同
汉王考勤管理系统
05-02
汉王考勤管理系统7是由汉王科技官方推出的一款基于C/S架构的考勤管理系统,结合人脸考勤产品,可以清晰的统计员工的考勤信息,生成报表,方便人事进行统计。适用于各种行业,需要的朋友可以下载试试!
汉王人脸考勤管理系统 Check SQL注入漏洞
DUANYU23的博客
07-30 4082
汉王人脸考勤管理系统 Check SQL注入漏洞0X001前言0X002 漏洞影响0X003 漏洞原理0X004 漏洞复现0X041 空间搜索寻找目标0X041 sql注入 0X001前言 汉王人脸考勤管理系统简化版是是汉王人脸通考勤机的配套软件,根据部分公司行政管理需求,简化系统复杂程度,使最长用的功能简单化,满足客户的日常基本使用需要。 0X002 漏洞影响 汉王人脸考勤管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 0X003 漏洞原理 未过滤参数从而存在sql注入 0X004 漏
汉王考勤管理系统教程
王NA的博客
02-06 4553
这里写自定义目录标题人脸识别考勤简介软件下载安装软件使用教程微信关注公众号,获取更多信息插入链接与图片 人脸识别考勤简介 汉王人脸识别考勤系统是由人脸识别考勤机、考勤管理软件两部分组成。电脑驱动程序就是考勤管理软件。 人脸识别考勤机可独立使用,无需连接电脑,即可完成人脸登记、刷脸考勤、存储记录等功能。 考勤机的数据可以通过U盘或者网络的方式传输到考勤管理软件。 考勤管理软件可进行班次设置、出勤调整、数据统计、输出报表等功能。 软件下载安装 点击软件下载 查看安装图文教程 软件
汉王考勤管理系统使用教程
热门推荐
王NA的博客
08-04 1万+
汉王考勤管理系统使用 一:考勤机导出打卡记录 1 需要管理员权限用户,按menu 进入功能菜单,选择U盘功能 2 选择导出信息 3 选择导出卡点记录 二:软件使用的流程: 需要添加考勤机设备,将卡点记录导入到软件里,设置考勤规则(时间段,班次,人员排班,考勤规则设置),就可以查看统计报表数据了 三:软件使用 1 添加设备,U盘方式导入数据 2导入卡点记录 点导入 3 人员信息处理 人员信息会在未分配里,点击下未分配即可查看人员信息; 选择全部人员,人员调动,移动到总公司部门下,新入
汉王考勤系统服务器IP,汉王人脸识别考勤客户端使用说明
weixin_36152824的博客
08-09 5984
汉王人脸识别考勤客户端使用说明》由会员分享,可在线阅读,更多相关《汉王人脸识别考勤客户端使用说明(15页珍藏版)》请在人人文库网上搜索。1、汉王人脸识别考勤机软件使用说明一、考勤软件的登录1、运行桌面上的“汉王考勤管理系统客户端”2、首次运行会出现“欢迎使用考勤软件”的设置对话框,将“请输入服务器IP或域名”下面的内容修改为192.168.11.19,然后选择“确定”3、出现“登录系统”的对话框...
WEB安全--Java安全--shiro550反序列化漏洞
m0_74800552的博客
05-16 632
shiro550反序列化
网络安全-等级保护(等保) 2-7-1 GB/T 25058—2019 第5章 等级保护对象定级与备案
项目管理到售前,一路成长的伙伴!
05-19 536
4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术 网络安全等级保护基础要求》+《信息安全技术 网络安全等级保护安全设计技术要求》一到四级对比表格(在基础要求中添加安全设计技术要求,安全设计技术要求主要用于开发人员和产品经理)个人见解说明:行业/领域定级工作,主要是各个行业/领域的主管部门制定,比如电力、金融等行业都有单独发布等级保护的要求,和通用等级保护要求有一定差异,会根据本行业的业务特性进行制定。GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》
网络安全-等级保护(等保) 2-7-2 GB/T 25058—2019 第6章 总体安全规划
项目管理到售前,一路成长的伙伴!
05-19 1176
等。
Web安全核心内容与常见漏洞总结
weixin_47389477的博客
05-14 499
启用 ‌Content Security Policy(CSP)‌ 限制脚本加载源,阻断 XSS 攻击链。使用参数化查询(Prepared Statements)防御 SQL 注入。对用户输入进行严格校验(如正则表达式匹配),过滤特殊字符(如。输出数据时进行 HTML 实体编码,避免 XSS 攻击。实现细粒度权限管理(如 RBAC 模型),避免越权操作。部署 ‌Web 应用防火墙(WAF)‌ 过滤恶意流量。使用 SSL/TLS 加密数据传输,防止中间人攻击6。强制使用多因素认证(MFA)提升账户安全性。
网络安全-等级保护(等保) 2-7-4 GB/T 25058—2019 第8章 安全运行与维护 第9章 定级对象终止
项目管理到售前,一路成长的伙伴!
05-19 1214
根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制内容,并以此定义不同运行管 理角色的职责。
【网络安全SQL注入
Dalik1018的博客
05-12 3003
SQL 注入是一种常见的网络攻击手段,它专门针对程序员在编写代码时的疏忽。你在网上注册了一个账号,填写用户名和密码后点击提交。正常情况下,网站会将你输入的信息发送到数据库进行验证,看看用户名是否存在,密码是否正确。但如果网站对用户输入的数据没有进行严格的检查,黑客就有机会在你输入的内容里添加一些特殊的 SQL 语句。
网络安全-等级保护(等保) 2-7-3 GB/T 25058—2019 第7章 安全设计与实施
项目管理到售前,一路成长的伙伴!
05-19 1136
7安全设计与实施对于安全厂家而言,最关心的内容在本章节,根据已确定的安全总体方案,完成技术措施和管理措施的详细设计和实施,包含具体的安全产品和管理要求。7安全设计与实施。
网络安全之身份验证绕过漏洞
anquan2233的博客
05-21 937
CrushFTP 是一款由 CrushFTP LLC 开发的强大文件传输服务器软件,支持FTP、SFTP、HTTP、WebDAV等多种协议,为企业和个人用户提供安全文件传输服务。近期,一个被编号为CVE-2025-2825的严重安全漏洞被发现,该漏洞影响版本10.0.0到10.8.3以及11.0.0到11.3.0。这个身份验证绕过漏洞源于系统对认证标头的不当处理,允许未经授权的远程攻击者通过暴露的HTTP/HTTPS端口获取管理员权限,进而可能访问敏感数据、修改系统文件或完全控制服务器。
网络安全-等级保护(等保) 2-0 等级保护制度现行技术标准
最新发布
项目管理到售前,一路成长的伙伴!
05-21 1083
第二章:现行等保标准要求,通过表格方式详细拆分了等保的相关要求。GB 17859-1999 计算机信息系统 安全保护等级划分准则【现行】GB/T22240-2020 《信息安全技术 网络安全等级保护定级指南》【现行】GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》【现行】GB/T 25070-2019 《 信息安全技术 网络安全等级保护安全设计技术要求》【现行】GB/T 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》【现行】
网络安全之带正常数字签名的后门样本分析
anquan2233的博客
05-20 456
越来越多的恶意软件使用正常的数字签名,近日笔者又跟踪到一例使用正常数字签名的后门样本,该攻击样本将相关的函数保存在文件名或INI文件当中,然后读取文件名或INI文件获取到相关函数执行恶意操作,样本相关信息,如下所示:沙箱没有跑出相关的C2地址,如下所示:对于这种沙箱没有跑出C2的样本,笔者有空的时候都会人工分析一下看看,分享出来供大家参考学习。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值