【产品介绍】企语iFair协同管理系统是一款专业的协同办公软件，该管理系统兼容性强，适合多种企业类型。该软件永久免费，绿色安全，无需收取费用即可使用所有功能。【漏洞介绍】企语iFair协同管理系统getuploadimage.jsp接口处存在任意文件读取漏洞，未经身份认证的攻击者可以通过此漏洞获取服务器敏感信息，使系统处于极不安全状态。【资产测绘Query】fofa语法：app="服务社

## 【产品介绍】#CTL{\n}全程云OA为企业提供日常办公管理、公文管理、工作请示、汇报、档案、知识体系、预算控制等26个功能，超过100多个子模块。 为企业内部提供高效、畅通的信息渠道，同时也能大力推动公司信息系统发展，提高企业的办公自动化程度和综合管理水平，加快企业信息的流通，提高企业市场竞争能力。#CTL{\n}#CTL{\n}## 【漏洞介绍】#CTL{\n}全程云-OA ajax s

## 【产品介绍】#CTL{\n}Yearning 面向中小型企业的轻量级MySQL SQL语句审核平台.提供查询审计，SQL审核等多种功能.#CTL{\n}#CTL{\n}## 【漏洞介绍】#CTL{\n}Yearning 2.3.1 版本、Interstellar GA 2.3.2 版本 和 Neptune 2.3.4 - 2.3.6 版本存在安全漏洞，该漏洞源于存在一个任意文件读取漏洞。攻击

## 【产品介绍】#CTL{\n}IP网络数字化广播终端用途：适合广域网分布式使用。既支持联网管理、也能做为独立的小系统。#CTL{\n}#CTL{\n}## 【漏洞简述】#CTL{\n}Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)版本存在操作系统命令注入漏洞，该漏洞源于文件/php/ping.php的参数js

## 【产品介绍】#CTL{\n}IP网络数字化广播终端用途：适合广域网分布式使用。既支持联网管理、也能做为独立的小系统。#CTL{\n}#CTL{\n}## 【漏洞简述】#CTL{\n}SPON世邦 IP网络对讲广播系统存在任意文件上传,攻击者可通过此漏洞获取上传任意文件。#CTL{\n}#CTL{\n}## 【资产测绘Query】#CTL{\n}```asp#CTL{\n}Fofa语法：ico

这次开局不顺啊，打开页面404准备放弃，但是。。。。。继续干吧，相信奇迹会出现——-迪迦曰404页面没有可以测试的点，怎么办，扫目录呗，最好能扫出个未授权，先用dirsearch自带字典扫一波很好，没有，你成功引起了我的注意，现在就要拿出我自己的祖传字典了，如果你没有祖传字典可以使用下面这个，看星星数量就知道这玩意好github地址：https://github.com/TheKingOf

## 【产品介绍】#CTL{\n}EduSoho企培系统，基于EduSoho教育云PaaS平台的底层技术打造，专门为快速发展的企业提供一体化企业培训、企业内训组织解决方案，专注人才培养、专注组织建设，帮助企业构建学习型组织，促成终身学习、实现快速发展。#CTL{\n}#CTL{\n}## 【漏洞介绍】#CTL{\n}该教培系统classroom-course-statistics接口存在未授权任意

【产品介绍】用友CRM（Customer Relationship Management，客户关系管理）是由用友公司开发的一款软件，专门设计用于帮助企业管理与客户相关的业务活动。这款软件通常包括客户信息管理、销售管理、市场营销、客户服务和技术支持等功能。用友CRM的目标是帮助企业改善与客户的关系，提升客户满意度，优化销售和服务流程，从而提高企业的市场竞争力。它适用于各种规模的企业，可以根据不同企业

开局一个登录框，漏洞全靠运气，先测试一下弱口令无果，再来个万能密码绕过登录试试我*，直接进去了，主要这个系统给人感觉就老一般只要进入后台，功能点就多起来了，权限也要比前端大，先摸索一遍功能点，发现某位置有个提交，这是个上传点啊先测试上传一个小马上去很好有验证就怕你没有验证，但是burp开起抓包监听的，没有收到内容，肯定是前端验证上传一个正常的文件抓包修改内容成功绕过上传限制访

这篇文章没什么技术含量通过fofa进行信息收集,先来一波子域名收集资产多就不怕没洞了，收集一下后台系统，只要后台进去了测试点就多了资产多就要使用一下工具帮忙了，毕竟猿人进化都是使用工具，而我只想当个点鼠标的猴子，用fofa的同时使用指纹识别探测一些重点资产，在丢到ehole里面去识别，这个工具在hvv中经常使用为什么要进行指纹识别，本菜鸟理解为就是找出该web使用了什么框架，然后快速通过漏洞库