【漏洞情报】泛微 E-Cology KtreeUploadAction 文件上传漏洞

已于 2024-06-17 23:00:07 修改
阅读量1.1k 收藏 6
点赞数 23
文章标签: web安全
于 2024-06-17 22:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wulai399/article/details/139737717
版权

声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢!

01 漏洞描述

泛微OA E-Cology KtreeUploadAction 存在文件上传漏洞

02 漏洞环境

Quake语法:app:"e-cology"

03 漏洞复现

构造payload发送请求

验证访问

04 漏洞修复建议

打补丁,升级到安全版本 

05 nuclei批量检测

06 圈子服务介绍

无论你是新手还是行业老手,我们都致力于为你提供最新、最优质的安全资源和交流平台。立即加入Sec探索者专属的内部圈子,与我们一起探索安全领域的无尽可能性!以下是我们圈子为内部成员提供的核心服务:

1、最新漏洞情报:提供最新的漏洞情报,第一时间复现和分析互联网暴露的重点高危漏洞,确保大家能第一时间掌握最新的漏洞动态

2、内部漏洞知识库:漏洞知识库正在持续建设中,我们将会提供详细的漏洞复现教程和poc,帮助大家深入理解漏洞的工作原理和利用方式。所有漏洞都是我们自己成功复现才会添加到知识库中,减少大家试错时间成本,我们将收集相对完整的漏洞信息、漏洞描述、分析以及针对每个漏洞的利用方法和防护建议,致力于打造一个全面且专业的漏洞知识库。 

3、漏洞综合利用工具:提供多种漏洞利用工具,这些工具经过内部严格测试和大家的反馈,确保其有效性和安全性。无论大家是在进行渗透测试、漏洞验证,还是其他安全研究,这些工具都能为大家提供强有力的支持。

4、会员账号共享:我们提供空间测绘高级会员账号,方便大家用于资产收集;提供CMD5会员服务,用于解密MD5哈希值;我们提供短信接码平台,帮助大家在各种网络活动中进行手机号码验证。

5、圈子互动:每个人都可以成为内部圈子中的一员,这里有志同道合的朋友,大家可以相互分享经验、探讨问题,共同进步。无论大家在使用工具、访问知识库,还是进行其他活动中遇到问题,都可以随时联系我们,我们将竭诚为大家服务。

6、更多资源分享:我们会分享最新的安全资源,包括报告、工具、代码样本等,让大家始终能够获得前沿的信息和资源。随着成员人数的增加,我们提供的资源也会越来越多。我们将不断丰富和更新我们的服务内容,以满足大家不断增长的需求。 

加入内部圈子(好的资源永远都在小圈子里面),我们期待与大家一起共同成长,探索网络安全的无限可能! 

也欢迎各位师傅们进我们公开的交流群,有任何技术问题都可以在群内进行交流讨论,进群方式如下pitaya微信号:Ff39959需要进群请加运营备注 加群 哦

Wulai399
关注
漏洞复现】泛微 E-Cology KtreeUploadAction 任意文件上传漏洞
alert['Hello World']
06-20 786
泛微OA E-Cology KtreeUploadAction 存在文件上传漏洞,攻击者可通过漏洞上传webshell,达到控制web服务器的权限
漏洞复现】泛微OA E-Office /E-mobile/App/init.php 任意文件上传漏洞
alert['Hello World']
09-29 553
泛微OA e-office平台 /E-mobile/App/init.php 文件存在一个任意文件上传漏洞。攻击者可以通过这个漏洞上传恶意文件到服务器,从而获取服务器的控制权,以及在服务器上执行任意命令,访问敏感数据,甚至完全接管服务器,对系统的安全性构成严重威胁。
【工具】通达漏洞综合利用工具v1.0
Wulai399的博客
06-06 665
通达漏洞综合利用工具v1.0
用友畅捷通T+ keyEdit sql注入漏洞
Keepb1ue的博客
05-11 644
畅捷通 T+ 是一款灵动,智慧,时尚的基于互联网时代开发的管理软件,主要针对中小型工贸与商贸企业,尤其适合有异地多组织机构(多工厂,多仓库,多办事处,多经销商)的企业,涵盖了财务,业务,生产等领域的应用,产品应用功能包括:采购管理、库存管理、销售管理、生产管理、分销管理、零售管理、往来管理、现金银行管理、总账、移动应用等,融入了社交化、移动化、电子商务、互联网信息订阅等元素,为企业打造全新的生意模式、管理模式、工作模式。
畅捷通TPlus keyEdit.aspx、KeyInfoList.aspx SQL注入漏洞复现
05-16 553
畅捷通-TPlus是一个为中小企业设计的财税云服务平台,提供财务、税务管理和发票处理功能,支持低代码开发,帮助企业实现数字化和智能化经营管理。
海康威视漏洞综合利用工具-HikvisionExploitGUI
siu~
05-10 3972
海康威视漏洞综合利用工具,支持一键上传哥斯拉等多种利用方式
泛微E-cology8管理员后端维护手册全套
09-30
泛微E-cology8是一款企业级的协同办公自动化(OA)系统,专为现代企业管理设计,提供全面的后端维护支持。这套“泛微E-cology8管理员后端维护手册全套”涵盖了OA系统中所有后端模块的详细操作和维护指南,旨在帮助...
泛微E-cology 二次开发Java Jar包
08-13
- jar包:这是一个未指定具体名称的Java Archive文件,可能包含了泛微E-cology的某些核心组件或开发者自定义的业务逻辑代码。 总结,泛微E-cology的二次开发涉及到Java编程语言、J2EE技术、E-cology的API接口以及...
泛微E-cology9.0(EC9)官方后台全套操作手册
09-29
泛微E-cology9.0(EC9)官方后台全套操作手册,包含20几个文档,WORD格式。注意这是操作手册,不是二次开发手册。适合系统操作人员阅读。
畅捷CRM 存在SQL注入+后台文件上传漏洞
qq_58091216的博客
12-07 1216
畅捷CRM是面向小企业全力打造的简单、实用的客户关系管理应用!畅捷CRM帮助企业用好自己的客户资源、管好商机跟进过程、引导好业务员跟单行为。畅捷CRM系统存在SQL注入和后台文件上传漏洞,攻击者可以通过上传木马执行任意命令,获取服务器管理权限。
漏洞复现】畅捷通T+ keyEdit SQL注入漏洞
alert['Hello World']
06-17 457
畅捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。畅捷通T+ keyEdit,aspx 存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。
漏洞复现】用友畅捷通TPlus InitServerInfo.aspx SQL注入漏洞
https://blog.echo234.cn/
03-25 728
畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该系统在InitServerInfo.aspx接口处未对用户的输入进行过滤和校验存在SQL注入漏洞
探索安全新边界:Hikvision综合漏洞利用工具
gitblog_00058的博客
06-20 730
探索安全新边界:Hikvision综合漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 在网络安全领域,提前发现并修复漏洞至关重要。为此,我们荣幸地向您推介一款由C#语言编写的开源项目——Hikvision综合漏洞利用工具。这款工具专门针对海康威视的产品,旨在帮助安全研究人员和管理员检测与利用一系列已知的安全漏洞,确保网络环境的安全性。 2、项目技术分析...
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 1051
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
漏洞复现】泛微OA E-Cology getdata.jsp SQL注入漏洞
alert['Hello World']
07-18 639
泛微OA E-Cology getdata.jsp 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。
【工具推荐】Hikvision - 一款海康威视综合漏洞利用工具,适用于漏洞挖掘、SRC漏洞挖掘、护网红队、渗透测试,支持一键获取 shell。
最新发布
weixin_58203004的博客
10-15 315
【工具推荐】Hikvision - 一款海康威视综合漏洞利用工具,适用于漏洞挖掘、SRC漏洞挖掘、护网红队、渗透测试,支持一键获取 shell。
工具分享 | Hikvision-是一款海康威视综合漏洞利用工具,漏洞挖掘必备,SRC漏洞挖掘必备,护网红队必备,渗透测试必备,一键getshell。
IT软件汇
09-17 694
工具分享 | Hikvision-是一款海康威视综合漏洞利用工具,漏洞挖掘必备,SRC漏洞挖掘必备,护网红队必备,渗透测试必备,一键getshell。
seay svn漏洞利用工具_通达OA远程命令执行漏洞分析
weixin_39882317的博客
11-24 491
更多全球网络安全资讯尽在邑安全www.eansec.com一、漏洞简介通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,攻击者通过构造恶意请求,上传webshell等恶意文件,并对入侵的服务器进行文...
泛微 e-cology 前台文件上传漏洞
07-28
泛微e-cology前台文件上传漏洞是指在泛微e-cology系统的前台功能中存在漏洞,攻击者可以利用该漏洞上传恶意文件到服务器上。根据引用\[1\]中提到的CNVD-2020-33199漏洞编号,该漏洞可能存在于泛微e-cology9版本的前台文件上传功能中。具体触发点位于文件/global_search.php的第108行,调用了doc2text()函数,并追溯到doc2txt()函数中的$FILE_PATH参数的源代码。该参数连接了附件目录(C:\eoffice9\webroot\ATTACHMENT)的数据表FLE_CONTENT中ATTACHMENT_ID和ATTACHMENT_NAME列的值,以获取完整的文件路径。\[2\] 需要注意的是,根据引用\[3\]中的声明,本文提供的信息仅供网络安全人员参考,未经授权请勿利用文章中的技术资料进行任何入侵操作。同时,禁止将本文提供的工具用于其他目的。 #### 引用[.reference_title] - *1* [泛微e-cology9前台文件上传漏洞复现](https://blog.csdn.net/qq_41490561/article/details/116119845)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [泛微E-Office前台文件上传漏洞](https://blog.csdn.net/u010025272/article/details/131312528)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值