用友nccloud存在任意文件上传
漏洞描述用友-NC-Cloud /ncchr/pm/fb/attachment/uploadChunk接口存在任意文件上传查询语法fofa app=”用友-GRP-U8”漏洞复现登录页面发包进行验证,返回包200说明文件以上传访问URL验证文件是否上传成功 /nccloud/.test.txtPOC:POST /ncchr/pm/fb/attachment/uploadChunk?fil
用友GPR-U8-SQL注入漏洞
查询语法鹰图 web.body=”用友-GRP-U8”fofa app=”用友-GRP-U8”利用方式1.首页2.拼接/u8qx/slbmbygr.jsp?gsdm=1 访问,未进行报错,则表示该漏洞存在3.使用sqlmap进行爆破修复建议1.升级版本或关闭互联网映射
1