泛微ecology OA系统某接口存在数据库配置信息泄露漏洞

最新推荐文章于 2024-05-16 08:49:49 发布
最新推荐文章于 2024-05-16 08:49:49 发布
阅读量109 收藏
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41770175/article/details/132987598
版权

2漏洞详情

攻击者可通过该漏洞页面直接获取到数据库配置信息,攻击者可通过访问存在漏洞的页面并解密从而获取数据库配置信息,如攻击者可直接访问数据库,则可直接获取用户数据,由于泛微e-cology默认数据库大多为MSSQL数据库,结合XPCMDSHELL将可直接控制数据库服务器.

2影响范围

目前已知为8.100.0531,不排除其他版本,包括不限于EC7.0、EC8.0、EC9.0版

3|0漏洞复现

 对这个漏洞要注意两点就是 ,获取密钥。默认密钥1z2x3c4v5b6n。使用密钥解密DES密文!这里使用python脚本自动完成这一步 脚本如下

 

PeiSylon
关注
漏洞复现】泛微OA E-Cology users.data信息泄露漏洞
晚风不及你
05-14 848
泛微OA E-Cology users.data存在敏感信息泄露漏洞,攻击者利用此漏洞可以获取系统敏感信息
漏洞复现】泛微OA E-Cology GetLabelByModule SQL注入漏洞
最新发布
晚风不及你
05-16 1035
泛微OA E-Cology getLabelByModule存在SQL注入漏洞,允许攻击者非法访问和操作数据库,可能导致数据泄露、篡改、删除,甚至控制整个服务器。
泛微Ecology8.1开启全部标准功能.rar
08-29
用sql语句开启ecology8.1全部标准功能,供个人测试使用
国产软件漏洞分析系列3:泛微OA e-cology 8.1代码审计(1)
重新启程
10-20 1767
整体浏览了一下代码,大概翻了一下。大概就能明白为什么总是报出来sql注入、xss跨站脚本攻击了。 我随便拿了一个类来给大家分析一下: /* */ import java.io.File; /* */ import java.io.FileInputStream; /* */ import java.io.IOException; /* */ import ja...
泛微 E-cology V9 信息泄露漏洞
孤桜懶契
06-18 5075
泛微OA E-Cology信息泄露 API接口漏洞只针对e-cology v9.0版本才有用,JS文件中有一个API接口
泛微ecology】做好系统备份及各项安全工作
fwecology的博客
06-23 2110
1、请务必做好程序、文件存储和数据库的定期、异地、异介质备份。 2、请务必做好服务器系统密码及用户密码复杂度检查和设置,避免暴力破解。 3、请在非使用期间,关闭服务器操作系统的远程桌面。 4、请务必做好各操作系统的安全更新,保障服务器安全。 5、请务必按照建议做好泛微系统平台的安全加固工作。 一、服务器安全 1、服务器口令加固 服务器账号口令必须是强口令,长度至少16位,且同时包含大小写字母、数字、特殊字符,且在键盘上无明显输入规律。 2、端口开放加固 仅开放必要的端口到互联网,减少攻击面。泛微系统各产品需
泛微oa连接mysql,泛微OA e-cology 数据库接口信息泄露学习
weixin_33893111的博客
03-27 731
泛微OA e-cology 数据库接口信息泄露漏洞信息攻击者可通过存在漏洞的页面直接获取到数据库配置信息。如果攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器;会将当前连接数据库的用户名密码,url,logintype等信息进行des加密,并最终进行返回,可以直接通过des解密获取泄露信息。本人遇见的情况是可以读取数据库用户名密码poc漏洞存在于/mobile/DBcon...
漏洞复现】泛微ecology OA系统接口存在数据库配置信息泄露漏洞
热门推荐
Summer's blog
05-13 1万+
泛微ecology OA系统接口存在数据库配置信息泄露漏洞,复现的时候踩到的那些坑!经验分享与总结。
漏洞复现】泛微OA E-Cology SignatureDownLoad SQL注入漏洞
晚风不及你
05-15 595
泛微OA E-Cology SignatureDownLoad存在SQL注入漏洞,允许攻击者非法访问和操作数据库,可能导致数据泄露、篡改、删除,甚至控制整个服务器。
ecology8(HTML版)所有已整理的表结构
12-13
ecology8(HTML版)所有已整理的表结构,详情见附件信息
ecology8开发相关资料
05-09
ecology8开发相关资料打包包括:按照开发顺序分类 包括准备阶段(安装文档、数据字典、接口文档、)配置阶段,开发阶段,等四个部分 的详细文档。基本满足ecology8的二次开发使用
泛微 ecology 8.0 数据库表结构
07-26
内部资源,该表结构对应的软件版本为 Ecology8.100.0531
ecology8表结构_htm(new).rar
05-15
数据字典,方便定制化开发使用。
泛微Ecology(2天)开发基础培训PPT课件.pptx
01-09
泛微Ecology(2天)开发基础培训PPT课件,
漏洞复现】泛微OA E-Cology Browser SQL注入漏洞
晚风不及你
05-16 646
泛微OA E-Cology browser存在SQL注入漏洞,允许攻击者非法访问和操作数据库,可能导致数据泄露、篡改、删除,甚至控制整个服务器。
ecology8和帆软单点登陆
oppend的学习笔记
04-24 2239
折腾好久,记录备用 帆软中做用户同步,修改wui\theme\ecology8\page\main.jsp,最后添加js,,即可实现单点登陆 <script language="JavaScript"> function doSubmit() { var username = "<%=user.getLoginid()%>";//获取用户名 //al...
泛微OA ecology8的一些开发经验汇总
杰克船长
03-19 5839
ecology8二次开发经验总结
Linux环境下Oracle与泛微Ecology OA系统部署指南
本指南提供了在Linux系统上安装和配置Oracle数据库Ecology OA产品的详细步骤。 首先,文档的【标题】"超级详细的Linux Oracle Ecology安装部署说明"表明了主要内容是关于在Linux系统中安装和部署Oracle数据库以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值