【漏洞复现】飞企互联-FE企业运营管理平台-officeserver-任意文件上传

.Rain.

已于 2024-01-18 10:10:07 修改

阅读量327

点赞数 6

分类专栏：漏洞复现文章标签： web安全

于 2024-01-10 18:00:00 首次发布

本文链接：https://blog.csdn.net/qq_44905116/article/details/135500188

版权

漏洞复现专栏收录该内容

222 篇文章 58 订阅 ¥39.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了飞企互联的FE企业运营管理平台存在一个权限设置不当的漏洞，详细阐述了漏洞概述、网络测绘和复现过程，特别是如何利用officeserver.jsp接口进行恶意文件上传，可能引发未授权访问、信息泄露和系统完整性受损等问题。

摘要由CSDN通过智能技术生成

0x01 产品简介

飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台，采用云计算、智能化、大数据、物联网和移动互联网等技术，以支撑企业的数字化转型。

0x02 漏洞概述

飞企互联-FE企业运营管理平台 officeserver.jsp 接口权限设置不当，攻击者可以通过利用此漏洞，上传恶意文件到系统中，可能导致未授权访问、敏感信息泄露或系统完整性受损等严重后果。

0x03 网络测绘

fofa: app="飞企互联-FE企业运营管理平台" || body="fe-font.css" || app="FE-协作平台"
Zoomeye: 'iconhash: "e90223165de1b1c7ae95336f10c3fe5d"'

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

.Rain.

关注关注

6
点赞
踩
5

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

【0day】复现飞企互联 FE业务协作平台某接口任意文件读取漏洞

记录并分享学习安全的知识点..

10-16

431

飞企互联（Feiqi Hulian）是一家提供FE（Front End）业务协作平台的公司。FE业务协作平台是针对前端开发团队而设计的工具，旨在提高团队协作效率、优化工作流程，并支持团队成员之间的沟通和协作。飞企互联 FE业务协作平台某接口存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中敏感文件。

漏洞复现-用友UFIDA-YongYou系列

aming小老弟

10-03

1860

UFIDA是中国的一家知名企业软件公司，全称为用友软件股份有限公司（Yonyou Software Co . , Ltd . ）。该公司成立于 1988 年，总部位于北京，是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案，包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业，如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程，并提供数据分析和决策支持工具。

参与评论您还未登录，请先登录后发表或查看评论

【渗透+取证】博客传送门（持续更新中）

记录并分享学习安全的知识点..

12-05

1820

【渗透+取证】博客传送门（持续更新中）

2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)

面向感觉挖洞，背向对象编程。欢迎关注VX公众号：EureKa安全团队

08-21

3349

2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总，截止目前已更新到91个漏洞，本文会实时更新，有新的漏洞都会加上

2023HW-8月（10-15）53个0day,1day漏洞汇总含POC、EXP

tangshuangsss的专栏

08-16

4978

点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介2023HW-8月10-15号0day、1day漏洞汇总（已更新），包含以下漏洞需要自取。链接：https://pan.baidu.com/s/1Tr94yVFSHn_C6YiJcVprAw 提取码：6666通达OAsql注入漏洞 CVE-2023-4165 POC.. 2 通达OAsql注入漏洞 CVE-2023...

2023HW护网100+个漏洞poc

Yb528970805的博客

09-19

3416

20 . Metabase validate 远程命令执行漏洞CVE-2023-38646。13 . HiKVISION 综合安防管理平台 files 任意文件上传漏洞 POC。3 . Adobe ColdFusion 反序列化漏洞CVE-2023-29300。25 . Panabit iXCache网关RCE漏洞CVE-2023-38646。65 . 泛微E-Office9文件上传漏洞 CVE-2023-2523 POC。66 . 泛微E-Office9文件上传漏洞 CVE-2023-2648 POC。

2024HW漏洞总结500+个漏洞|威胁情报第|HW情报

weixin_43167326的博客

09-02

3146

技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

飞企互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞复现

0xSec

03-22

1202

飞企互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口处存在文件上传漏洞，未经身份验证的攻击者可以利用此漏洞上传恶意后门文件，获取服务器权限，进而控制整个web服务器。

飞企互联-FE企业运营管理平台多处 SQL注入致RCE漏洞复现

0xSec

06-28

947

飞企互联-FE企业运营管理平台 checkGroupCode、efficientCodewidget39、ajax_codewidget39等接口存在SQL注入漏洞，未经授权攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。

飞企互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞

weixin_43567873的博客

03-13

139

飞企互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞

【漏洞复现】飞企互联-FE企业运营管理平台-publicData-sql注入

知黑而守白

01-10

351

飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台，采用云计算、智能化、大数据、物联网和移动互联网等技术，以支撑企业的数字化转型。飞企互联的FE企业运营管理平台中的publicData接口存在SQL注入漏洞，该漏洞使得攻击者可以通过构造精心设计的恶意SQL语句，成功执行未经授权的数据库操作。此漏洞可能导致敏感信息泄露、数据库被篡改或其他安全风险。

飞企互联-FE企业运营管理平台 videotexMonitor SQL注入漏洞复现

0xSec

01-31

822

飞企互联-FE企业运营管理平台 videotexMonitor接口存在SQL注入漏洞，未经授权攻击者可通过该漏洞获取数据库敏感信息，进一步利用可获取服务器权限，导致网站处于极度不安全状态。

如何用3个月零基础入门网络安全？_网络安全零基础怎么学习

2401_84466224的博客

09-27

1172

我们知道计算机最早是在西方发明出来的，很多名词或者代码都是英文的，甚至现有的一些教程最初也是英文原版翻译过来的，而且一个漏洞被发现到翻译成中文一般需要一个星期的时间，在这个时间差上漏洞可能都修补了。”答案是否定的，黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖，然后搭建环境，去复现漏洞，去思考学习笔者的挖洞思维，培养自己的渗透思维。

国产操作系统（统信UOS）网络安全等级保护基础安全加固

2401_84434570的博客

09-26

1002

统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令：sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令：dpkg -l libpam-pwquality。执行命令：vim etc/pam.d/common-passwd。

19、网络安全合规复盘

weixin_43263566的博客

09-26

273

。

Web安全-SQL注入之联合查询注入

m0_60984906的博客

09-25

383

Web安全SQL注入之联合查询注入墨者学院-SQL手工注入漏洞测试(MySQL数据库-字符型)

从《GTA5》的反外挂斗争看网络安全的重要性

@云安全小杜

09-26

785

本文将探讨《GTA5》在对抗外挂过程中遇到的挑战，特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击，并从中提炼出对于网络安全的一些启示。然而，随着游戏人气的增长，一些不法分子开始利用技术手段制作并销售外挂程序，这些程序可以让使用者在游戏中获得不公平的优势，从而破坏了游戏环境。请注意，以上内容是基于假设的情景编写的技术分析文章，实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们，在享受数字世界带来的便利的同时，也需要时刻警惕潜在的安全风险，并积极采取措施加以防范。

【完-网络安全】Windows注册表