泛微E-Bridge checkMobile Sql注入漏洞复现(附脚本)

已于 2024-12-23 14:00:18 修改
阅读量366 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 安全 web安全 泛微
于 2024-12-23 13:59:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xc_214/article/details/144664238

0x01 产品描述:

        泛微云桥e-Bridge‌是由上海泛微公司开发的一款系统集成中间件,旨在连接互联网开放资源与企业内部的信息化系统。它特别针对腾讯微信和阿里钉钉的开放接口进行了封装,使企业能够便捷地构建基于这两个平台的移动办公应用。对于泛微自身的协同办公产品e-cology,e-Bridge提供了可视化的配置接入,简化了集成流程‌。

0x02 漏洞描述:

        泛微云桥e-Bridge checkMobile接口处存在SQL注入漏洞,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)。
0x03 搜索语句:

Fofa:app="泛微云桥e-Bridge"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
-云桥e-Bridge addTasteJsonp SQL注入漏洞复现
0xSec
12-16 1107
-云桥e-Bridge addTasteJsonp 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
云桥e-Bridge checkMobile接口SQL注入漏洞复现 [POC]
最新发布
薛定谔嘚喵博客
12-20 272
云桥e-Bridge checkMobile接口存在SQL注入漏洞,通过此漏洞攻击者可获取企业数据库敏感数据。
e-cology9 SQL注入漏洞复现(QVD-2023-5012)
ZL_1618的博客
03-09 2562
协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
e-Bridge未授权文件读取漏洞复现
The current road is different, love needs to distinguish between right and wrong
03-05 7821
简介 云桥 e-Bridge 存在未经授权读取任意文件漏洞,可利用该漏洞,实现任意文件读取,获取敏感信息。 fofa title="云桥e-Bridge" 漏洞复现 因为不是在本地搭建的漏洞复现环境,利用空间搜索引擎只找到很少量存在漏洞的网站,大多数都开启了身份验证,找到的也都是基于Windows的,所以就不在介绍Linux上搭建的了。 payload1 /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///
漏洞情报-云桥 e-Bridge addTaste接口SQL注入漏洞
qq_52612931的博客
01-02 1151
由于云桥e-Bridge平台addTaste接口存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取数据库权限及数据库的敏感数据。3、其他内容不修改,然后放包后即可复现
云桥e-Bridge addTasteJsonp sql注入漏洞复现批量检测脚本
iSee857的博客
12-18 272
云桥e-Bridge addTasteJsonp接口处存在SQL注入漏洞,未经身份验证的远程攻击者可以利用SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)
漏洞复现-云桥 e-Bridge SQL注入漏洞检测脚本
jjjj1029056414的博客
12-12 2140
漏洞复现-云桥 e-Bridge SQL注入带自己写的poc脚本
漏洞复现-云桥e-Bridge EC8.0 文件上传
今天是几号的博客
08-06 2747
请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。-云桥是一款基于云计算技术的企业级协作与办公平台,提供文档管理、流程审批、项目协作等功能,旨在提升企业内部沟通效率与工作协同能力。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
云桥e-Bridge安装手册
04-10
云桥(e-Bridge)是上海公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。截止自本手册编制之日e-Bridge已实现了腾讯信及阿里钉钉开放接口的封装,企业可以通过e-Bridge快速实现基于信及钉钉的移动办公应用接入。对于协同办公产品e-cology更是实现了可视化的配置接入。后续e-bridge将整合更多的互联网信息化资源,让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。
E Bridge 云桥任意文件读取
nnn2188185的博客
03-25 1550
云桥存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。
云桥e-Bridge任意文件读取
MD@@nr丫卡uer
11-28 4429
云桥e-Bridge任意文件读取漏洞 0x00漏洞影响版本: 该漏洞几乎影响2018-2019全版本。 0x01漏洞利用: 默认密码sysadmin/1 fofa搜索语句:title=“云桥” 主要成因 /wxjsapi/saveYZJFil接口获取filepath,返回数据包内出现了程序的绝对路径,攻击者可以下载相关敏感文件 构造如下语句 http://x.x.x.x/wxjsapi/saveYZJFile? fileName=test&downloadUrl=file:///etc/
2021-OA V8 SQL注入漏洞
热门推荐
weixin_43227251的博客
04-13 1万+
OA V8 SQL注入漏洞 漏洞描述 OA V8 存在SQL注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限 漏洞影响 OA V8 FOFA app=“-协同办公OA” 漏洞复现 在getdata.jsp中,直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理 在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法 P
【高危】 e-cology <10.57 存在 SQL注入漏洞(POC)(MPS-ndqt-0im5)
murphysec的博客
04-28 1678
协同管理应用平台(e-cology)是一套企业大型协同管理平台。 e-cology 受影响版本存在SQL注入漏洞,未经授权的远程攻击者可通过发送特殊的HTTP请求来获取数据库的敏感信息。
复现云桥 e-Bridge SQL注入漏洞_45
fushuang333的博客
02-10 2028
复现云桥 e-Bridge SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
E-Cology SQL注入漏洞复现(QVD-2023-15672)
0xSec
07-11 1万+
由于e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。
移动管理平台E-mobile lang2sql接口存在任意文件上传
weixin_68647219的博客
11-07 884
E-mobile系统 lang2sql接口存在任意文件上传漏洞,由于后端源码中没有对文件没有校验,导致任意文件上传。攻击者可利用该参数构造恶意数据包进行上传漏洞攻击。2.资产测绘web.body="当前版本: 20190924"
SRM智联云采系统quickReceiptDetail存在SQL注入漏洞
缘梦未来的博客
11-22 214
智联云采SRM重构供应链 采购更简单 针对企业供应链采购管理难题及数字化转型需求,智联云采依托人工智能、物联网、大数据、云等前沿技术,沉淀产品系统化方案,帮助企业实现战略寻源更具预测性。
CNVD-2023-12632 e-cology9 sql注入 poc
三天不打上房揭瓦的博客
03-18 5727
由于e-cology9中对用户前台输入的数据未做校验,可以通过构造恶意的数据包导致SQL注入漏洞,进一步获取敏感数据。
云桥e-Bridge-任意文件读取漏洞
chaojixiaojingang
10-09 6849
1.资产查找 Fofa: title="云桥 e-Bridge" 2.漏洞描述 云桥e-Bridge存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。 3.漏洞复现 1)Linux服务器 (1)在URL后添加payload payload:/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt (2)在URL后添加/file/fileNo
e-bridge漏洞文件上传漏洞(CVE-2021-28368)
05-25
e-bridge是一款企业信息化平台,近期被曝存在文件上传漏洞(CVE-2021-28368),攻击者可以利用此漏洞上传恶意文件,进而控制服务器或者实施其他攻击行为。 该漏洞的原因是e-bridge的上传功能没有对上传文件的类型进行严格限制,导致攻击者可以上传包含恶意脚本的文件,从而造成远程命令执行、文件读取等安全风险。 目前,该漏洞已被公开披露,并且已经发布了安全补丁,建议用户尽快升级到最新版本以避免遭受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iSee857

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值