当前位置: 首页 > news >正文

免费p2p网站建设企业管理系统开发平台

news 2025/10/3 5:59:56
免费p2p网站建设,企业管理系统开发平台,个人网站名称创意大全,彩票网站开发违法一、漏洞简介 很多人说管伊佳ERP(原名:华夏ERP,英文名:jshERP)是目前人气领先的国产ERP系统虽然目前只有进销存财务生产的功能,但后面将会推出ERP的全部功能,有兴趣请帮点一下 二、漏洞影响 …

一、漏洞简介

  • 很多人说管伊佳ERP(原名:华夏ERP,英文名:jshERP)是目前人气领先的国产ERP系统
  • 虽然目前只有进销存+财务+生产的功能,但后面将会推出ERP的全部功能,有兴趣请帮点一下

二、漏洞影响

- jshERP v3.3
- OS:Windows/Linux/macOS
- Browser: Chrome、Firefox、Safair

三、网络测绘:

fofa:
icon_hash="-1298131932"指纹:
body="1cd9bcbaae133f03a6eb19da6579aaba"

四、复现过程

利用条件

(该接口需要登陆后才能访问,但是项目中的代码导致可以使用 “/jshERP-boot/doc.html/…%3b/depotItem/importItemExcel” 这样的url进行未授权访问)

首页

步骤 POC 1

构造或者抓取一个数据包,在 /depotItem/importItemExcel 接口处上传一个excel文件)
数据包
在这里插入图片描述

(其中的"C:\Users\hp\Desktop\test.xls"文件内容为)

'1') oR sleep(0.05)--

在这里插入图片描述

(发送数据包可以发现页面会有延迟)

(修改sleep函数时间,延迟发送变化,说明存在SQL注入)

http://www.dtcms.com/a/434467.html

相关文章:

  • 报告派研读:2025年电力设备及新能源行业深度报告
  • 站长之家源码垂直电商平台有哪些?
  • K8s中的ETCD存储机制
  • 【精品资料鉴赏】397页WORD详解智慧城市顶层设计方案
  • 16种粮食谷物分类数据集5300张17类别
  • 2025基于springboot的网上蛋糕销售系统
  • SSE是什么?SSE解决什么问题?在什么场景使用SSE?
  • 算法偏见的解药:将敏捷“灵魂”注入AI伦理
  • 基于前端+Node.js 的 Markdown 笔记 PDF 导出系统完整实战
  • lesson71:Node.js与npm基础全攻略:2025年最新特性与实战指南
  • 购买域名后 可以做网站么灰色关键词排名优化
  • 专业做家具的网站小程序注册方法
  • OWASP ZAP 工具安全测试介绍
  • Git介绍 常用命令
  • 教育机构作图:含拼团 / 课程封面模板,适配小程序
  • linux内核时间定时器延时
  • 远程安装vps相关软件记录
  • 山东高端网站建设方案宁波网站建设那家好
  • x86_64 centos7.2 上用aarch64-linux-gnu-gcc4.8.5交叉编译qt5.11.3
  • GLib线程池全面解析:原理、应用与性能优化
  • 东莞网站设计网址电影网站建设方案ppt模板下载
  • 51单片机-驱动LCD1602液晶显示屏教程
  • 【C++哲学】面向对象的三大特性之 多态
  • Python - 100天从新手到大师:第二十六天Python操作Word和PowerPoint文件
  • 算法基础 典型题 前缀和
  • 广告网站制作多少钱wordpress修改密码后还是登陆不了
  • 【MySQL】一篇讲透MySQL的MVCC机制!
  • 【开题答辩全过程】以 Web数据挖掘在电子商务中的应用研究为例,包含答辩的问题和答案
  • 网站界面美观度站长素材网站官网
  • 生活的方向,从来没有统一的标准答案——它不是一张固定的地图,也不是一条必须抵达的终点线,更像是你在行走中慢慢校准的“心之所向”。