畅捷通T+ RecoverPassword.aspx

已于 2024-11-13 15:11:50 修改
阅读量384 收藏 2
点赞数 8
分类专栏: 用友T+ 文章标签: web安全
于 2024-11-13 15:09:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jack8674/article/details/143743552
版权

用友 畅捷通T+ RecoverPassword.aspx 存在未授权管理员密码修改漏洞,攻击者可以通过漏洞修改管理员账号密码登录后台

#漏洞影响版本

12.0,12.1.12.2.12.3

13.0

15.0

16.0

18.0  补丁号291都影响

19.0  补丁号167之前也有影响

对于老版本畅捷通已经不出补丁了。

在没有删除信息之前打开

http://xx.xx.xx.xx/tplus/ajaxpro/RecoverPassword,App_Web_recoverpassword.aspx.cdcab7d2.ashx都显示。

个人测试。删除App_Web_recoverpassword.aspx.cdcab7d2.dll文件

文件路径:D:\Chanjet\TPlusStd\WebSite\bin

网络上说的通过下面网址至少显示异常。

http://xx.xx.xx.xx/tplus/ajaxpro/RecoverPassword,App_Web_recoverpassword.aspx.cdcab7d2.ashx

捷通T+ InitServerInfo.aspx SQL漏洞复现
0xSec
03-13 992
由于捷通T+的InitServerInfo.aspx接口处未对用户的输入进行过滤和校验,未经身份验证的攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现】用友-捷通T+-SQL注入-keyEdit
知黑而守白
07-05 730
用友捷通 T+是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。捷通T+ keyEdit.aspx接口处存在SQL注入漏洞 ,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
0x10 用友 捷通T+ RecoverPassword.aspx 管理员密码修改漏洞
weixin_43263566的博客
10-01 535
存在未授权管理员密码修改漏洞,攻击者可以通过该漏洞修改管理员账号密码,从而登录后台。使用本博客即表示您同意以上条款。如果有疑问,请联系我。
(附nuclei 批量验证文件)用友 捷通T+ RecoverPassword.aspx 管理员密码修改漏洞(QVD-2023-20016)
nglj9527的博客
05-29 597
用友 捷通T+ RecoverPassword.aspx 管理员密码修改漏洞(QVD-2023-20016)复现。
捷通T+13管理员密码任意重置漏洞
最新发布
bring_coco的博客
12-24 596
复现版本 捷通13。
捷通(chanjet)T+各版本
SamYux
11-04 3653
T+12.1普及版 T+12.0标准版与专业版 T+12.0普及版 Tplus12.1标准版与专业版 T+11.51 T+11.5 企管通11.3 T3-企管通专业版11.31 T+11.6 T+11.32安装包(在T+11.31金盘基础上安装使用) 业务通专业版11.2 企管通专业版11
捷通CRM 11.5破解补丁
10-31
捷通CRM 11.5 20用户破解补丁,经测完全可用!
用友捷通T+ keyEdit sql注入漏洞
Keepb1ue的博客
05-11 858
捷通 T+ 是一款灵动,智慧,时尚的基于互联网时代开发的管理软件,主要针对中小型工贸与商贸企业,尤其适合有异地多组织机构(多工厂,多仓库,多办事处,多经销商)的企业,涵盖了财务,业务,生产等领域的应用,产品应用功能包括:采购管理、库存管理、销售管理、生产管理、分销管理、零售管理、往来管理、现金银行管理、总账、移动应用等,融入了社交化、移动化、电子商务、互联网信息订阅等元素,为企业打造全新的生意模式、管理模式、工作模式。
FlexWiki-开源
04-22
4. **MessagePost.aspx**:此页面可能用于处理用户在论坛或者讨论板上发布消息的功能,让用户可以交流想法和问题,进一步增强协作特性。 5. **Rename.aspx**:这个页面可能允许用户重命名wiki页面,以便于整理和...
eBookShop网上售书系统源码分析
- **售书模块**:这是系统的主要功能,包含了列出书籍(BookList.aspx)、查看书籍详情(BookDetail.aspx)、登录(Login.aspx)、创建用户(CreateUser.aspx)、找回密码RecoverPassword.aspx)、更改密码...
捷通T+密码清除工具
11-01
捷通T+密码清除工具,比直接数据库里修改方便多了。
捷通T+12.3及以下 50站点
03-13
用来测试,请勿用于商业用途,商用请购买正版,本资源只能用于测试,测试,测试,重要的话说3遍,一切商用后果请自行承担。
捷通Tplus1 最新授权生成器(可修改群号版本)
01-18
捷通Tplus1(12.X)最新授权生成器,批量生成,可修改群号码 (免狗,i注意右键使用管理员运行),说的够清楚,下了不会用的,别找我。
用友T+12.3 30站点 无限制软狗 中小企业足够了
01-29
用友T+12.3 30站点 无限制软狗 中小企业足够了,下载后解压,按照说明一步一步操作,最后刷新或重启电脑即可。
漏洞复现--用友 捷通T+ .net反序列化RCE
qq_53003652的博客
10-25 1728
捷通T+是一款新型互联网企业管理软件。全面满足成长型小微企业对其灵活业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。该产品存在.net反序列化可导致RCE。访问执行命令的日志文件即test.txt。执行ipconfig /all。此脚本来自揽月安全团队。
【T+捷通T+软件更新补丁提示当前系统中没有安装T+产品
努力不懈的为广大客户提供优质的产品与真诚、贴心、专业的服务!
10-24 563
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall。提示:当前系统中没有安装T+产品。需要注意的是软件的版本,最好确保软件、数据库、操作系统三者版本一致。首先查看控制面板程序中没有T+产品,即下图没有T+产品信息。然后可以从正常环境导出注册表信息,再导入进有问题环境。正常情况下是可以在下述路径下,可以看到有T+产品的。原因是因为控制面板注册表中没有T+产品信息。
用友捷通T+安装操作手册
m0_71071763的博客
01-11 3439
找到下载地址后,使用百度或迅雷均可下载,如果不会下载,可以点击如何下载安装,根据教程进行下载安装。首次登录,需要设置Administrator的密码,此处需要符合密码规则,即英文大小写等。进入准备安装界面,可以检查一下配置,如果本机安装不建议安装C盘,虚拟机可以安装C盘。此时系统进入安装界面,安装过程全自动,需要的时间根据电脑的配置而定,可以稍等片刻。安装结束之后,点击关闭即可,正常使用数据库,如果安装过程出错,则无法进入这个界面。在新建账套界面,录入手机号和密码,点击新建云企业,然后点击完成。
天联助力捷通“T +” 实现远程访问说明
2301_78526531的博客
01-03 1209
这种方案也有一个弊端需要用户注意:捷通T+产品,是一个企业性质的产品,系统应用的安全程度还是需要客户重视的,本身T+产品安全防备已经比较完善,但是如果涉及到外网访问,还是希望客户多加强一下安全措施,如果使用了免费的域名解析产品,一是需要在路由器中做端口映射,一旦做了端口映射,那服务器的安全隐患就增加了,相当于把T+服务器暴露在了公网,有被攻击的风险;2、天联主打访问安全的特点,为企业搭建的是内部网络,只有授权的员工才可以登录访问,不暴露在公网;4、天联是傻瓜的安装模式,一键安装不需要重启电脑;
捷通T+ KeyInfoList,网络安全开发全套学习
m0_60388338的博客
04-16 343
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值