用友GRP-u8 注入+天融信TopApp-LB 负载均衡系统sql注入

2020-9-11 / 0 评论 / 423 浏览 / Mrxn

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。 该系统被曝存在命令执行漏洞,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击,漏洞细节以及相关漏洞poc如下: ...

WinRAR 5.80 XML 注入漏洞和拒绝服务攻击漏洞

2019-10-23 / 0 评论 / 1580 浏览 / Mrxn

0x00背景介绍  WinRAR,是Windows标配的压缩软件,大家都不陌生。0x01漏洞描述  但是最近这两天winrar 5.80爆出了两个漏洞,一个是XML注入漏洞,一个是拒绝服务攻击漏洞。0x02漏洞复现POC  第一个XML注入漏洞: 此poc展示非授权情况下用户敏感文件上传 这里的文件是:C:\Windows\sy...