免责声明由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
| 0x01 漏洞介绍
用友GRP-U8是一款企业管理软件,主要用于财务、供应链、人力资源等领域的管理。该产品在datalist处存在SQL注入,用户可利用该漏洞获取敏感信息
| 0x02 影响版本
用友GRP-u8| 0x03 语法特征
FOFA: title="用友GRP-U8 高校内控管理软件"Hunter: app.name="用友GRP-U8 OA"
| 0x04 漏洞复现
直接上Sqlmap
python sqlmap.py -r url.txt --batch --dbms=mssql --dbs
漏洞相关POC星球内查看
| 知识星球的介绍
不好意思,兄弟们,这里给湘安无事星球打个广告,不喜欢的可以直接滑走哦。
1.群主为什么要建知识星球?
简单为了恰饭哈哈哈,然后也是为了建立一个圈子进行交流学习和共享资源嘛相应的也收取费用嘛,毕竟维持星球也需要精力
2.知识星球有哪些资源?
群里面联系群主是可以要一些免费的学习资料的,因为群里面大部分是大学生嘛大学生不就是喜欢白嫖,所以大家会共享一些资料
一些实战报告,截的部分
一些1day的poc,这些也就是信息差,不想找可以让wk帮你们嫖,群主也会经常发
一些共享的资源
1.刀客源码的会员2.fofa 360高级会员3.专属漏洞库5.专属内部it免费课程6.不定期直播分享(星球有录屏)
技术交流可加下方wx
原文始发于微信公众号(WK安全):用友 GRP U8 | datalist.jsp SQL注入
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论