当前位置: 首页 > news >正文

LVS精益价值管理系统 LVS.Web.ashx SQL注入漏洞复现

news 2025/7/4 11:43:34

0x01 产品简介

LVS精益价值管理系统是杭州吉拉科技有限公司研发的一款专注于企业精益化管理和价值流优化的解决方案。该系统通过集成先进的数据分析工具、可视化的价值流映射技术和灵活的流程改善机制,帮助企业实现高效、低耗、高质量的生产和服务。

0x02 漏洞概述

LVS精益价值管理系统 /ajax/LVS.Web.AgencytaskList,LVS.Web.ashx 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。

0x03 复现环境

FOFA:

body="/ajax/LVS.Core.Common.STSResult,LVS.Core.Common.ashx"

0x04 漏洞复现

PoC

POST /ajax/LVS.Web.AgencytaskList,LVS.Web.ashx?_method=GetColumnIndex&_session=r HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Conten
http://www.lryc.cn/news/362605.html

相关文章:

  • 【JavaScript脚本宇宙】图表库大盘点:选择最适合你的工具
  • 【Lua】IntelliJ IDEA 写注释或选中变量单词时偶尔会选中相邻的内容或下一行内容
  • 安全风险 - 组件导出风险
  • 【HarmonyOS】应用振动效果实现
  • springCloud中将redis共用到common模块
  • 基于jeecgboot-vue3的Flowable流程-待办任务(三)
  • 如何让Google快速收录?
  • History 模式和 Hash 模式路由的区别、优缺点及在开发生产环境中的注意事项
  • 63. UE5 RPG 兼容没有武器的普通攻击
  • 【Vue】成绩案例
  • 深度学习 - PyTorch简介
  • MySQL:CRUD进阶(七千五百字)
  • 与C共舞:让编译更顺滑(2)
  • Go 群发邮件Redis 实现邮件群发
  • 夕小瑶:资本寒冬下的AI创业一年
  • [JAVASE] 异常 与 SE阶段知识点补充
  • 可视化数据科学平台在信贷领域应用系列一:数据探索
  • SpringBoot发送Gmail邮件
  • 【小海实习日记】金融-现货以及合约理解
  • html 添加元素如何能提升速度
  • 人工智能大模型的进化之路:探索如何让它们变得更“聪明”
  • 【设计模式深度剖析】【6】【结构型】【外观模式】| 以电脑开关按钮为例,并结合微服务架构的API网关加深理解
  • 2024拼多多 最新理论+实战干货,从入门到精通全链路多角度学习-7节课
  • 在Three.js中实现模型点击高亮:整合EffectComposer与OutlinePass的终极指南
  • Webrtc支持HEVC之FFMPEG支持HEVC编解码(一)
  • 高校实验室危险化学品及重大危险源安全管理系统
  • 【Godot4自学手册】第四十一节背包系统(一)UI设置
  • JS继承的方式
  • 拓展虚拟世界边界,云手机可以做到吗
  • 网络的功能和实现方法简介