【漏洞复现】泛微OA E-Cology XmlRpcServlet文件读取漏洞

最新推荐文章于 2024-05-26 19:36:18 发布
最新推荐文章于 2024-05-26 19:36:18 发布
阅读量207 收藏 3
点赞数 10
分类专栏: 【漏洞复现M】 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/138747533
版权

漏洞描述:

泛微OA E-Cology是一款面向中大型组织的数字化办公产品,它基于全新的设计理念和管理思想,旨在为中大型组织创建一个全新的高效协同办公环境。泛微OA E-Cology XmlRpcServlet存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件

搜索语法:

Fofa-Query: app="泛微-OA(e-cology)"

漏洞详情:

1.泛微OA E-Cology。

2.漏洞POC详情见公众号文章。

【漏洞复现】泛微OA E-Cology XmlRpcServlet文件读取漏洞

3.漏洞复现结果。

晚风不及你ღ
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【1day】OA e-cology XXE 漏洞——可读取任意文件
记录并分享学习安全的知识点..
07-14 2163
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修规则依旧可被绕过,本次漏洞即为之前修规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
【0day】OA e-cology 任意文件读取漏洞
记录并分享学习安全的知识点..
11-02 821
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。e-cology某处功能点存在任意文件读取漏洞,攻击者攻击者可以在未经授权的情况下读取系统上的任意文件
漏洞-OA xmlrpcServlet接口任意文件读取漏洞(附漏洞检测脚本)
jjjj1029056414的博客
12-25 1246
漏洞-OA xmlrpcServlet接口任意文件读取漏洞,附带自己写的poc脚本
漏洞OA E-Cology ResourceServlet文件读取漏洞
晚风不及你
05-14 376
OA E-Cology ResourceServlet存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件
漏洞OA E-Cology ln.FileDownload文件读取漏洞
晚风不及你
05-13 332
OA E-Cology是一款面向中大型组织的数字化办公产品,它基于全新的设计理念和管理思想,旨在为中大型组织创建一个全新的高效协同办公环境。OA E-Cology ln.FileDownload存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件。Fofa-Query: app="-OAe-cology)"1.OA E-Cology。2.漏洞POC详情见公众号文章。
Goby 漏洞发布| e-cology XmlRpcServlet 接口文件读取漏洞
m0_46699477的博客
07-24 518
e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和信端同时办公等。攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
e-cology XmlRpcServlet文件读取漏洞
Keepb1ue的博客
12-20 1754
新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实全程电子化,改变传统纸质文件、实体签章的方式。OA E-Cology 平台XmRpcServlet接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件 (如数据库配置文件、系统配置文件) 、数据库配置文件等等,导致网站处于极度不安全状态。
OA e-cology9 存在 sql 注入
nnn2188185的博客
04-29 1345
信公众号搜索:南风漏洞文库该文章 南风漏洞文库 公众号首发 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA 系统,包括知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等打造协同高效的企业管理环境,突破企业人、财、物、信息、流程等各种资源之间的屏障,并将集团各企业、企业各部门、各分支机构、以及企业与外部的供应商、分销商、客户及其他合作伙伴等整合在一个统一的平台上,使企业变成一个电子化的内外部协同工作的组织。
漏洞OA E-Cology portalTsLogin文件读取漏洞
晚风不及你
05-12 317
OA E-Cology portalTsLogin存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件
OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
OA e-cology8最新h5补丁
06-01
OA e-cology8 最新h5补丁(ecology之flash)html5补丁
OA 9.0 e-cology9.0 数据字典
07-06
版本升级.zip 表单建模.zip 财务管理.zip 车辆管理.zip 短信模块.zip 工作流程.zip 工作博.zip 公文管理.zip 会议管理.zip 即时通讯-EMESSAGE.zip 集成模块.zip 客户管理.zip 门户管理.zip ...workflow
OA e-cology 8 最新webservice接口文档
12-11
OA e-cology 8 最新webservice接口文档 包含获取OA流程、新建流程等接口
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 966
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
常见web安全漏洞
qq_52712762的博客
05-24 1110
管理员备份网站文件后错误的将备份放在Web目录下,有:.rar、.zip、.7z、.tar、.tar.gz、.bak、.txt。使用” ../”测试,/var/www/images/../../../etc/passwd等价于/etc/passwd。③Web网站的程序编写存在问题,对用户提交请求没有进行适当的过滤,直接使用用户提交上来的。Web中间件,介于操作系统和应用程序之间的产品,面向信息系统交互,集成过程中的通用部分的。然后,将仔细研究网站的响应,以尝试找出有趣的。
web安全渗透测试工具篇(二):sqlmap常用命令和nmap常用命令
最新发布
HACKONE的博客
05-26 98
这些选项可以用来创建用户自定义函数。--udf-inject 注入用户自定义函数--shared-lib=SHLIB 共享库的本地路径。
web安全渗透测试十大常规项(二):web渗透测试之XSS跨站脚本攻击
HACKONE的博客
05-26 42
渗透测试之XSS跨站脚本攻击XSS跨站脚本攻击 XSS跨站脚本攻击
oa e-cology v9 browser.jsp sql注入漏洞
09-15
OA E-Cology V9是一款常用的企业办公自动化系统,该系统的browser.jsp页面存在SQL注入漏洞。SQL注入是一种常见的网络攻击技术,攻击者可以通过构造恶意的SQL语句来绕过系统的认证和授权机制,进而获取敏感数据或者对系统进行非法操作。 OA E-Cology V9中的browser.jsp页面是用于显示OA系统中的个人文件夹和公共文件夹。攻击者可以在该页面中输入恶意的SQL语句,通过执行这些恶意SQL语句,攻击者可以获取到不应该被访问的数据,比如其他用户的文件,甚至可以对数据库进行修改和损坏。 为了防止SQL注入漏洞的利用,可以采取以下措施: 1. 输入过滤和验证:在服务器端对用户输入的数据进行过滤和验证,去除或转义可能包含恶意SQL代码的字符,确保只接受合法的输入。 2. 使用参数化查询:尽量使用参数化查询代替拼接SQL语句的方式,参数化查询可以预编译SQL语句,避免在拼接时引入恶意代码。 3. 限制数据库用户的权限:对数据库用户进行权限控制,确保每个用户只拥有最小必要的权限,减少攻击者利用SQL注入漏洞进行非法操作的机会。 4. 及时更新和修补漏洞:及时跟进厂商的安全通告并安装最新的补丁程序,确保系统始终处于最新的安全状态。 综上所述,OA E-Cology V9中的browser.jsp页面存在SQL注入漏洞,但通过合理的安全措施和注意事项,我们可以有效地减少该漏洞被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值