金蝶云星空 erp反序列化命令执行漏洞批量扫描POC&EXP，带命令回显

2024年10月13日18:45:34评论81 views字数 419阅读1分23秒阅读模式

漏洞描述

Kingdee_erp_Unserialize_rce金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。系统存在反序列化命令执行漏洞。

影响泛微

6.x版.4 7.x版本：7.0.352.16 至 7.7.0.202111 8.x版本：8.0.0.202205 至 8.1.0.20221110

工具利用

python3 Kingdee-erp_rce.py -u http://127.0.0.1:1111 单个url测试

python3 Kingdee-erp_rce.py -c http://127.0.0.1:1111 cmdshell模式

金蝶云星空 erp反序列化命令执行漏洞批量扫描POC&EXP，带命令回显

python3 Kingdee-erp_rce.py -f url.txt 批量检测扫描会自动保存存在漏洞的url到vuln.txt

原文始发于微信公众号（夜组安全）：金蝶云星空 erp反序列化命令执行漏洞批量扫描POC&EXP，带命令回显

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Argo Events权限管理不当漏洞

本文由 admin 发表于 2024年10月13日18:45:34
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
金蝶云星空 erp反序列化命令执行漏洞批量扫描POC&EXP，带命令回显https://cn-sec.com/archives/1895770.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.