【漏洞复现】朗新智能人力资源系统(HCM) GetFunc_code.asmx接口处存在SQL注入漏洞

news2024/12/25 8:54:34

                              免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

                                                                                                                                              

Ⅰ、漏洞描述

朗新智能人力资源系统是一种基于人工智能和数据分析技术的智能人力资源管理系统。该系统旨在帮助企业更好地管理人力资源,提高员工效率和满意度,降低人力资源管理成本。

朗新智能人力资源系统(HCM) GetFunc_code.asmx接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。

Ⅱ、fofa语句

"/js/Comm/loadingsmall.js" && icon_hash="1772087922"

Ⅲ、漏洞复现

1、发送数据包执行SQL语句

Ⅳ、Nuclei-POC

Ⅴ、修复建议

1、使用参数化查询或存储过程来执行 SQL 查询,以防止注入攻击;

2、及时应用安全更新和补丁,以修复任何已发现的漏洞。

六月份70多0day、1day、nday漏洞合集(含POC)

《杜特-网上订单系统-SQL注入-login》
《蓝凌EIS智慧协同平台-任意文件上传-api》
《迈普 多业务融合网关-RCE-send_order.cgi》
《HSC Mailinspector-任意文件读取-loader(CVE-2024-34470)》
《用友U9-SQL-TransWebService.asmx》
《用友NC-文件读取-downCourseWare》
《用友政务A++-任意文件读取-FileDownload》
《飞企互联-FE企业运营管理平台-SQL注入-treeXml.jsp》
《天智云智造管理平台-SQL-Usermanager.ashx》
《宏景HCM-SQL注入-pos_dept_post》
《Casdoor-任意文件读取-static》
《Casdoor-未授权访问-swagger》
《Casdoor-未授权访问-app》
《Apache OFBiz-RCE-ProgramExport》
《财会实训平台-文件上传-douploaddatafile》
《锐捷校园网自助服务系统-任意文件读取-login_judge.jsf(XVE-2024-2116)》
《方正全媒体新闻采编系统-信息泄漏-syn.do》
《EasyCVR-智能边缘网关-任意用户删除-deleteuser》
《EasyCVR-智能边缘网关-任意密码修改-updateuser》
《EasyCVR-智能边缘网关-任意用户添加-adduser》
《EasyCVR-智能边缘网关-用户信息泄漏-userlist》
《大华-城市安防监控系统平台管理-strust2命令执行》
《PHP CGI 平台远程代码执行漏洞(CVE-2024-4577)》
《多客圈子论坛系统-任意文件读取-httpGet》
《Rejetto HTTP文件服务器-任意文件读取-search(CVE-2024-23692)》
《用友NC-任意文件上传-uploadControl》
《用友分析云-未授权访问-druid》
《网课交单平台-SQL注入-epay》
《用友NC-SQL注入-oacoSchedulerEvents》
《东胜物流软件-SQL-GetProParentModuTreeList》
《申瓯通信设备有限公司在线录音管理系统 -任意文件读取-download》
《英飞达影像存档与通讯(PACS)系统-任意文件上传-Upload》
《悦库企业网盘-SQL注入-login》
《Fastadmin框架-任意文件读取-lang》
《致远互联FE协作办公平台-SQL注入-ncsubjass》
《天喻软件数据安全平台-SQL-deviceid》
《CRMEB开源电商系统-SQL-products》
《佑友防火墙-后台任意文件读取-index-file》
《佑友防火墙-后台命令执行-Ping》
《契约锁-RCE-add》
《SolarWinds Serv-U-目录遍历-InternalDir(CVE-2024-28995)》
《gbSip-信息泄漏-swagger》
《gbSip-默认密码》
《Zyxel NAS设备-RCE-setCookie(CVE-2024-29973)》
《ShokoServer-任意文件读取-withpath(CVE-2023-43662)》
《华测监测预警系统-FileDownLoad-文件读取》
《华测监测预警系统-SQL-UserEdit》
《真内控国产化平台-任意文件读取-preview》
《云安宝云匣子-远程代码执行-ssoToolReport》
《云安宝云匣子-远程代码执行-config》
《XWiki-RCE-DatabaseSearch(CVE-2024-31982)》
《申瓯通信设备有限公司在线录音管理系统 -RCE-index.php》
《医药信息管理系统-SQL-GetLshByTj》
《锐捷统一上网行为管理与审计系统-RCE-static_convert.php》
《中城科信票务管理平台-SQL注入-Introduction.ashx》
《用友UFIDA-NC-任意文件读取-ELTextFile.load.d》
《万户OA-任意文件上传-iWebOfficeSign/officeserver》
《通天星-CMSV6-SQL注入-merge》
《极企智能办公路由-RCE-jumper》
《App托管服务分发平台-任意文件上传-index-uplog.php》
《时空智友ERP-任意文件上传-updater.uploadStudioFile》
《碧海威 L7前台弱口令-后台RCE》
《碧海威L7-RCE-confirm.php、jumper.php》
《用友-U8C-任意文件读取-smartweb2.showRPCLoadingTip.d》
《飞企互联-FE企业运营管理平台-SQL注入-checkGroupCode.jsp》
《飞企互联-FE企业运营管理平台-SQL注入-efficientCodewidget39.jsp》
《飞企互联-FE企业运营管理平台-SQL注入-ajax_codewidget39.jsp》
《WordPress Quiz Maker插件-SQL注入-ays_questions》
《WordPress Quiz Maker插件-SQL注入-subscription_code》
《Magento Open Source 存在xxe漏洞》
《易思无人值守智能物流系统-任意文件上传-controller.ashx》
《上海鹏达计算机系统开发有限公司学分制系统-SQL注入-Interactive.asmx》
《上海鹏达计算机系统开发有限公司学分制系统-SQL注入-GetCalendarContentById》
《金和OA-C6-文件读取-UploadFileDownLoadnew》

请前往公众号置顶文章参与抽奖活动,有机会免费获取全部POC

联系圈主

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1891181.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

产线AGV和仓储AGV到底有什么不同?

agv AGV小车虽然体积小巧,但这并不影响它强大的负重能力,它不需要人工去操作驾驶,能够实现无人搬运车的功能,而且随着AGV小车的发展,已经从最传统普遍的磁导航升级为惯性导引和激光导引AGV小车了,从需要在企…

2. Python+Playwright playwright的API

Playwright支持同步和异步两种API,使用异步API需要导入asyncio库,它是一个可以用来实现Python协程的库,更详细介绍可参考Python协程 。我们可以根据自己的偏好选择适合的模式。 同步与异步模式原理 同步操作方式:在代码执行时&am…

【目标检测】DINO

一、引言 论文: DINO: DETR with Improved DeNoising Anchor Boxes for End-to-End Object Detection 作者: IDEA 代码: DINO 注意: 该算法是在Deformable DETR、DAB-DETR、DN-DETR基础上的改进,在学习该算法前&#…

黑马点评-Redis的缓存击穿,缓存雪崩,缓存穿透,互斥锁,逻辑过期

文章目录 1.缓存穿透2.缓存雪崩3.缓存击穿3.1 互斥锁3.2 基于逻辑过期 1.缓存穿透 解决办法 写入NULL值到Redis缓存,以后就会命中Redis的控制缓存而不会出现请求直接打到数据库的问题! 代码 2.缓存雪崩 这个概念很好理解,雪崩就是无数的…

复旦大学:一个小技巧探测大模型的知识边界,有效消除幻觉

孔子说“知之为知之,不知为不知,是知也”,目前的大模型非常缺乏这个能力。虽然大模型拥有丰富的知识,但它仍然缺乏对自己知识储备的正确判断。近年来LLMs虽然展现了强大的能力,但它们偶尔产生的内容捏造,即…

240703_昇思学习打卡-Day15-K近邻算法实现红酒聚类

KNN(K近邻)算法实现红酒聚类 K近邻算法,是有监督学习中的分类算法,可以用于分类和回归,本篇主要讲解其在分类上的用途。 文章目录 KNN(K近邻)算法实现红酒聚类算法原理数据下载数据读取与处理模型构建--计算距离模型预测 算法原理 KNN算法虽…

AIGC到底如何改变创意设计?

在当今数字化时代,AIGC(生成式人工智能)技术的崛起对创意设计领域产生了深远的影响。AIGC不仅为设计师提供了新的工具和方法,还改变了传统的设计流程和思维方式。 传统的设计过程中,设计师需要耗费大量时间在绘图、修…

利用GPT 将 matlab 内置 bwlookup 函数转C

最近业务需要将 matlab中bwlookup 的转C 这个函数没有现成的m文件参考,内置已经打成库了,所以没有参考源代码 但是它的解释还是很清楚的,可以根据这个来写 Nonlinear filtering using lookup tables - MATLAB bwlookup - MathWorks 中国 A…

甘肃黄米粽子:香甜软糯的塞上美食

甘肃黄米粽子是甘肃地区具有特色的传统美食。黄米粽子选用优质的黄米作为主要原料,黄米相较于糯米,有着独特的谷物香气和口感。在制作过程中,将黄米浸泡一段时间,使其充分吸收水分,变得饱满。馅料方面,通常…

Vue 爬坑

都是基于最新的Vue3版本 "vue": "^3.4.29" 1 vue组建样式设置 <script setup lang"ts"> import HelloWorld from ./components/HelloWorld.vue </script><template><div><a href"https://vitejs.dev" tar…

鸿翼打造企业级AI Agent智能体平台,构建AI +ECM全业务场景

在数字化时代的浪潮中&#xff0c;人工智能技术正以前所未有的速度改变着世界。正如比尔盖茨预言&#xff0c;AI Agent将是人工智能的未来。在这个预言逐渐成为现实的当下&#xff0c;大模型驱动的智能体正在成为推动企业革新的核心动力。 在企业环境中&#xff0c;大语言模型的…

DEX: Scalable Range Indexing on Disaggregated Memory——论文泛读

arXiv Paper 论文阅读笔记整理 问题 内存优化索引[2&#xff0c;3&#xff0c;18&#xff0c;27&#xff0c;42]对于加速OLTP至关重要&#xff0c;但随着数据大小&#xff08;以及索引大小&#xff09;的增长&#xff0c;对内存容量的需求可能会超过单个服务器所能提供的容量…

华为手机改变休眠时间 不让手机动不动黑屏

在手机中找到设置 并打开 在里面找到显示与亮度 并点开 找到并点击休眠操作项 然后就会弹出 多久进入休眠 可以调久一点

机器学习基础概念

1.机器学习定义 2.机器学习工作流程 &#xff08;1&#xff09;数据集 ①一行数据&#xff1a;一个样本 ②一列数据&#xff1a;一个特征 ③目标值&#xff08;标签值&#xff09;&#xff1a;有些数据集有目标值&#xff0c;有些数据集没有。因此数据类型由特征值目标值构成或…

vmware虚拟机增加磁盘容量

概述 当初始分配给虚拟机的磁盘空间不够时&#xff0c;需要从外部的主系统增加配给。 具体操作分为两步&#xff1a;一&#xff1a;通过虚拟机界面添加分配的磁盘配给&#xff1b;二&#xff1a;将新分配的配给给使用起来。 操作 添加磁盘配给 在虚拟机内部添加新分配的配给…

Linux下QT程序启动失败问题排查方法

文章目录 0.问题背景1.程序启动失败常见原因2.排查依赖库问题2.1 依赖库缺失2.2 依赖库加载路径错误2.3 依赖库版本不匹配2.4 QT插件库缺失2.4.1 QT插件库缺失2.4.2 插件库自身的依赖库缺失 2.5 系统基础C库不匹配 3.资源问题3.1 缺少翻译文件3.2 缺少依赖的资源文件3.3 缺少依…

数据库安装

1.选择最下面自定义安装 2.选择x64 3.next 4.完成后next 5.next 6.选择如图&#xff0c;next 7.如图 8.输入密码 9.如图 10.如图 11.安装 12.完成 13.控制面板选择系统和安全 14.选择系统 15.高级系统设置 16.环境变量 17.双击打开path 18.新建 19.输入MySQLbin文件夹路径 20.管…

年互动量破亿,小红书流量新风口趋势研究

当今时代&#xff0c;一个人生活已经成为越来越常见的状态。千瓜数据显示&#xff0c;近一年小红书有关“一人生活”的种草笔记数超百万&#xff0c;预估互动量达亿级&#xff0c;“一人”市场大有可为。 本期&#xff0c;千瓜将探索“一人生活”的新变化&#xff0c;深入分析人…

Modbus RTU协议简介即CRC算法实现

目录 1 Modbus 介绍2 Modbus RTU协议传输方式2.1 地址码2.2 功能码2.3 数据码2.4 校验码 3 CRC算法实现2.1 代码3.2 运行结果 1 Modbus 介绍 Modbus是一种串行通信协议&#xff0c;是Modicon公司&#xff08;现在的施耐德电气 Schneider Electric&#xff09;于1979年为使用可编…

谷粒商城-个人笔记(集群部署篇一)

前言 ​学习视频&#xff1a;​Java项目《谷粒商城》架构师级Java项目实战&#xff0c;对标阿里P6-P7&#xff0c;全网最强​学习文档&#xff1a; 谷粒商城-个人笔记(基础篇一)谷粒商城-个人笔记(基础篇二)谷粒商城-个人笔记(基础篇三)谷粒商城-个人笔记(高级篇一)谷粒商城-个…