Thelostworld_OA漏洞利用工具V1.1

最新推荐文章于 2024-04-20 19:48:51 发布
最新推荐文章于 2024-04-20 19:48:51 发布
阅读量391 收藏
点赞数
分类专栏: 安全工具 文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40456839/article/details/132938733
版权

工具介绍

基于JavaFX图形化界面开发的快速OA类利用工具,作者收集和整理了目前工具的OA类验证及其利用的方式和方法,整合成一个方便快捷图形化的快速利用工具。

作者将现存披露的漏洞利用方式进行了收集整合,目前已经写完:致远、泛微、用友、万户、通达、蓝凌。

关注【Hack分享吧】公众号,回复关键字【230907】获取下载链接

工具模块包含:

漏洞快速发现模块(主要是通过poc或者exp发现漏洞存在与否)-单目标地址;
快速利用支持漏洞上传、回显、命令执行、Dnslog多种类型-单目标地址;
批量验证模块(通过多线程并发调用快速发现模块)-多目标地址;
代理模块(方便调试和代理池使用);
命令执行Java_Runtimebase64编码及其相关命令note;
数据库密文解密(用友NC、蓝凌)。

图片

潇湘信安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OA高危漏洞利用工具v1.2.0
08-02
使用JDK8启动,命令如下: java -javaagent:Exp-Tools-1.2.0-encrypted.jar -jar Exp-Tools-1.2.0-encrypted.jar 简介 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk8环境开发。目前只编写了oa系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前为止,已实现了用友、泛微、通达、致远、帆软报表、万户、蓝凌、红帆、华天动力总共9个OA。 全部是命令执行、文件上传类的漏洞,包括前台和后台,未编写log4j、fastjson相关漏洞。 2023/6/28 新增用友畅捷通T+SQL注入 新增致远帆软报表文件读取-bypass 新增泛微eoffice uploadify上传 新增php-framework和java-framework 新增nacos任意用户添加 新增金蝶云星空反序列化 优化部分代码
nessus2021-01-27最近漏洞更新包
01-27
nessus2020-11-14最近漏洞更新包,以把插件包上传到服务器后, 执行/opt/nessus/sbin/nessuscli update 插件包文件路径
通达OA综合利用工具通达OA综合利用工具
03-29
# 工具说明 **通达OA综合利用工具_20200224** <br /> ## 集成POC如下 任意用户登录POC: 4个<br /> SQL注入POC: 2个<br /> 后台文件上传POC: 3个<br /> 本地文件包含POC: 2个<br /> 前台文件上传POC(非WEB目录): 1个<br /> 任意文件删除POC: 1个<br /> <br /> <br /> ## 工具面板截图 ![image.png](https://cdn.nlark.com/yuque/0/2021/png/516736/1614132955247-9f1b3b4d-9019-4665-8925-b36d4a6c141b.png) <br /> <br /> ## 工具利用流程 ### 1.优先利用本地文件包含漏洞 原因是本地文件包含漏洞, 配合前台文件上传可以直接getshell, 无需获取有效Cookie<br /><br /> ### 2.若本地文件包含漏洞利用失败, 其次利用任意用户登录漏洞与SQL注入漏洞 这两个漏洞的利用方式集成在了"获取Cookie"按钮上<br /
最新通达OA漏洞利用工具_通达oa漏洞检测工具(1),2024年最新字节跳动Andorid岗25k+的面试题
最新发布
2301_82243078的博客
04-20 695
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!料的朋友,可以添加V获取:vip204888 (备注网络安全)**对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。**】获取****下载链接**
神兵利器 | HW常见OA利用工具(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-13 439
常见OA漏洞利用检测工具Tools-1Tools-2Tools-3后台回复tools,获取工具
X凌OA系统任意文件读取&SSRF+JNDI远程命令执行组合
thelostworld
05-14 1093
X凌OA系统任意文件读取-SSRF+JNDI远程命令执行一、漏洞描述深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,同时利用ssrf可远程命令执行。二、漏洞影响蓝凌OA三、利用 蓝凌OA custom.jsp 任意文件读取漏洞 读取配置文件读取路径:/WEB-INF/KmssConfig/admin.properties读取文件:POC:POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host: 127
最新通达OA漏洞利用工具
leah126的博客
12-31 1202
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
N!9个OA高危漏洞利用工具v1.1.6
潇湘信安的博客
07-16 820
工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前只编写了oa系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。
Java_OAexp工具设计及实现-Thelostworld_OA
thelostworld
05-02 3241
本文约1700字,阅读约需6分钟。本文主要介绍基于JavaFX图形化界面开发的快速OA类利用工具。笔者收集和整理了目前工具OA类验证及其利用的方式和方法,整合成一个方便快捷图形化的快速利用工具。想要写这个工具的原因,主要是日常工作中,OA漏洞利用总是需要去找无数验证脚本,操作繁琐。为了方便日常渗透测试,简单快捷地进行OA利用渗透,方便团队提升效率,笔者撰写了这款工具。设计初期,笔者收集和查看了一些师傅所撰写的OA利用相关工具和文章,都是部分漏洞的利用和探测,比较单一。在这个情况下,笔者把现存披露的漏洞利用
回顾2024编程之旅,算法题+网络安全
jixuczy的博客
04-16 251
除了开发应用,在2023年中很多时间都在开发接口,主要就是我们的小程序商城需要和外部企业进行合作,进行流量互到,所以有很多接口需要开发。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
致远OA A8 漏洞综合工具
qq_44029310的博客
10-31 1746
致远OA A8 漏洞综合工具 v1.0,支持批量一件扫描。
TDOA_RCE:通达OA综合利用工具
03-03
工具说明 通达OA综合利用工具_20210224 集成POC如下 任意用户登录POC:4个SQL注入POC:2个后台文件上传POC:3个本地文件包含POC:2个前台文件上传POC(非WEB目录):1个任意文件删除POC:1个 工具面板截图 工具利用流程 1.优先利用本地文件包含漏洞 原因是本地文件包含漏洞,配合前台文件上传可以直接getshell,无需获取有效Cookie 2.如果本地文件包含漏洞利用失败,则可以利用任意用户登录漏洞与SQL注入漏洞 这两个突破的利用方式集成在了“获取Cookie”按钮上共计6个POC,其中任意一个POC利用成功的都会自动停止,并自动填充有效的Cookie到工具上获取有效的Cookie后,可以选择后台文件发布一键利用如目标存在弱密码,可手动填充有效Cookie后配合文件上传一键利用 3.特定版本v11.6存在任意文件删除漏洞的利用 当目标为v11.6版本时,
nessus2020-11-14最近漏洞更新包
11-14
nessus2020-11-14最近漏洞更新包,以把插件包上传到服务器后, 执行/opt/nessus/sbin/nessuscli update 插件包文件路径
nessus2022-3-8漏洞更新包all-2.0.tar.gz
03-08
nessus2022-3-8漏洞更新包all-2.0.tar.gz ,以把插件包上传到服务器后, 执行/opt/nessus/sbin/nessuscli update 插件包文件路径
nessus2022-4-2漏洞更新包all-2.0.tar.gz
04-02
nessus2022-4-2漏洞更新包all-2.0.tar.gz ,以把插件包上传到服务器后, 执行/opt/nessus/sbin/nessuscli update 插件包文件路径
OA检测工具-OA-EXPTOOL(二)
siu~
08-15 806
OA综合利用工具,集合将近20款OA漏洞批量扫描。
OA综合利用工具
公众号:乌云安全
01-03 355
第一次使用脚本请运行pip3 install -r requirements.txt。本工具无毒无后门,因为含有冰蝎木马文件原因请下载时关闭防护软件。主要针对的是OA产品的漏洞检测。产生的攻击行为和后果与本人无关。然后使用show查看命令合集。
红蓝对抗重点OA系统漏洞利用工具新年贺岁版V2.0
siu~
08-29 978
红蓝对抗重点OA系统漏洞利用工具新年贺岁版V2.0的设计中旨是为了帮助各位师傅在渗透测试和挖洞中以及攻防演练中能够快速对OA系统进行快速定位进行漏洞检测和利用.,目前已实现20款OA系统的漏洞检测和利用,共133个漏洞.听说day一打一个准,也欢迎各位师傅补充漏洞和反馈误报,我们将积极作出调整和完善.
[ 攻防演练演示篇 ] 利用通达OA 文件上传漏洞上传webshell获取主机权限
qq_51577576的博客
03-06 2414
[ 攻防演练演示篇 ] 利用通达OA 文件上传漏洞上传webshell获取主机权限
8.10!20+款OA漏洞批量利用工具
潇湘信安的博客
09-17 260
OA综合利用工具,集合将近20款OA漏洞批量扫描,本工具无毒无后门,因为含有冰蝎木马文件原因请下载时关闭防护软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值