CNVD-2021-49104——泛微E-Office文件上传漏洞

最新推荐文章于 2021-12-07 22:46:07 发布
最新推荐文章于 2021-12-07 22:46:07 发布
阅读量3.1k 收藏
点赞数
分类专栏: 每日漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53086690/article/details/121667928
版权

CNVD-2021-49104——泛微E-Office文件上传漏洞

E-Office简介

e-office是一款移动协同办公平台,平台全方位覆盖日常办公场景,可以有效提升组织管理与协同效率,可以帮助更好的工作。

影响版本

泛微e-office V9.0

漏洞概述

泛微存在文件上传漏洞。攻击者可利用漏洞上传webshell,获得服务器权限。

漏洞复现

在这里插入图片描述
在这里插入图片描述exp可以加微信公众号获取
在这里插入图片描述

摸鱼的码农
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
泛微E-Office前台文件上传漏洞
失心少年
06-20 855
我们在第108行调用doc2text(),然后追溯到doc2txt()参数$FILE_PATH的源,连接附件目录(C:\eoffice9\webroot\ATTACHMENT) 的数据表FLE_CONTENT中ATTACHMENT_ID和ATTACHMENT_NAME列的值,以获得完整的文件路径。天擎攻防实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
泛微E-Office最新文件上传漏洞CNVD-2021-49104
swordheart的博客
12-02 4554
0x00 漏洞介绍 泛微e-office泛微旗下的一款标准协同移动办公平台。主要面向中小企业。该漏洞是由于 e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行。 0x01 漏洞版本 泛微 e-office v9.0 0x02 漏洞复现 poc如下 POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTT...
CNVD-2021-49104检测脚本(泛微E-Office文件上传漏洞
dreamthe的博客
12-05 1750
对于漏洞复现感兴趣可以看看:CNVD-2021-49104漏洞复现(泛微E-Office文件上传漏洞)_dreamthe的博客-CSDN博客 #!/usr/bin/env python3 # -*- coding: utf-8 -*- # author: trance # datetime: 2021/12/5 0005 15:54 import requests from requests_toolbelt import MultipartEncoder import sys headers = {
CNVD-2021-49104漏洞复现(泛微E-Office文件上传漏洞
dreamthe的博客
12-05 2623
1.靶场搭建 自己下载的e-office软件运行就行了
CNVD-2021-17369 smartweb管理系统管理员密码泄露.md
04-11
CNVD-2021-17369 smartweb管理系统管理员密码泄露
solly0880#wiki#若依管理系统 后台任意文件读取 CNVD-2021-019311
07-25
若依(RuoYi)管理系统 后台任意文件读取漏洞描述若依管理系统是基于SpringBoot的权限管理系统,登录后台后可以读取服务器上的任意文件漏洞影响app=
泛微OA xmlrpcServlet接口任意文件读取漏洞CNVD-2022-43245)
最新发布
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
74CMS_6.0.48_远程命令执行_CNVD-2021-45280
02-22
本文为 漏洞编号 CNVD-2021-45280 ,即 74CMS 远程命令执行漏洞利用工具源码内容 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 更...
Thinkergod#PeiQi-WIKI-POC#若依管理系统 后台任意文件读取 CNVD-2021-019312
07-25
若依(RuoYi)管理系统 后台任意文件读取漏洞描述若依管理系统是基于SpringBoot的权限管理系统,登录后台后可以读取服务器上的任意文件漏洞影响app=
漏洞报告模板.docx
10-02
漏洞平台提交漏洞时需要写一份漏洞报告,此模板能帮助你快速编写报告
【官方】CNVD成员单位申请材料模板
06-12
CNVD成员单位申请材料模板。 官方发布,内含手续过程。
cnvd出报告专用.docx
06-19
文件内容:包含cnvd的各种漏洞详情——危害——修复建议;直接复制—粘贴即可完成报告;即可用于写渗透测试报告,也可提交各种src
泛微 e-office v9.0任意文件上传漏洞{CNVD-2021-49104}
千寻的博客
12-07 5719
目录 漏洞介绍 影响版本 漏洞环境 漏洞复现一 漏洞复现二 修复方法 参考连接 免责声明 漏洞介绍 泛微e-office泛微旗下的一款标准协同移动办公平台。 泛微e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行,攻击者可利用该漏洞获取服务器控制权。 影响版本 泛微e-office V9.0 关键字 app="泛微e-office V9.0" 漏洞环境 漏洞复现一 P
审计挖掘之CNVD通用漏洞
kali_Ma的博客
08-27 3160
前言 本次内容对cnvd通用漏洞库中的bagecms进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究,不可用于违法违规途径。 一、环境 在http://61.155.169.167:81/uploads/userup/1870/bagecms.zip上下载bagecms的源代码,将其放下phpstudy软件下,就能够搭建起一个web环境,然后导入.sql数据库备份文件到本地的数据库管理器。 自动化安装环境,访问http:/
漏洞复现】泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)
做自己喜欢的事,并将其发挥到极致!
11-29 5234
0x01 漏洞概述 泛微e-office泛微旗下的一款标准的协同移动办公平台。 泛微e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行,攻击者可利用该漏洞获取服务器控制权。 0x02 影响范围 泛微e-office V9.0 0x03 漏洞复现 访问界面如下 ...
cnvd批量提交以及漏洞盒子
qq_54030686的博客
10-28 1699
cnvd批量提交 1.使用超级鹰验证码实现登录 2.完成下拉菜单的选择及文件的上传 3.连接fofa实现批量验证并且提交自己的cnvd账号 4.已完成全部代码编写,将上传到github 5.用户需要输入自己的fofa,超级鹰,cnvd相应账号和密码,并且将自己想要搜索的fofa内容输入,想要获取不同的漏洞,用户需要根据自己的需求 更改相应位置的内容 6.目前作用为使用fofa搜索,对符合相应弱口令的网址进行检测并且提交cnvd ...
cnvd-2021-16886 利用脚本
07-07
### 回答1: cnvd-2021-16886是一个漏洞编号,代表某个具体的漏洞。利用脚本是指通过编写特定的代码脚本来利用该漏洞。 在利用cnvd-2021-16886漏洞时,可以通过编写脚本来自动化攻击过程,提高攻击效率和成功率。脚本可以使用各种编程语言编写,比如Python、Ruby、Perl等,根据具体需求来选择适合的编程语言。 脚本的编写可以包括以下步骤: 1. 了解漏洞:仔细研究cnvd-2021-16886漏洞的细节和原理,了解漏洞的利用方式和可能造成的影响。 2. 分析目标:确定攻击的目标,包括具体运行漏洞的应用、系统版本等信息。 3. 编写代码:根据漏洞的利用方式和目标的特点,编写相关代码段。这些代码段可能包含如发送特定的恶意请求以触发漏洞、获取目标系统的权限等功能。 4. 测试和优化:在合适的环境下测试编写的脚本,确保其能够成功利用cnvd-2021-16886漏洞。如果有问题或不完善的地方,需要进行调试和优化。 需要注意的是,利用漏洞是非法的行为,可能会导致法律问题和伦理问题。在进行漏洞利用时,应遵守法律法规并获得合法授权,比如在合法的渗透测试范围内进行。 ### 回答2: cnvd-2021-16886 是一个漏洞标识符,用于标识2021年的一个特定漏洞。根据我的了解,我将用300字的篇幅来回答利用这一漏洞的脚本。 cnvd-2021-16886 是一种远程代码执行漏洞,该漏洞存在于某个软件的特定版本中。通过利用这一漏洞,攻击者可以执行恶意代码,并可能获取对受影响系统的控制。 要利用这一漏洞,攻击者可以使用特定的脚本代码来构造定制的攻击载荷。这个脚本可能会利用漏洞中存在的软件错误,以执行恶意代码或利用系统的弱点。攻击者可以通过网络将这个攻击载荷发送到受影响的系统,从而实现攻击的目的。 脚本通常是用编程语言编写的一组指令,用于自动执行一系列任务。在利用 cnvd-2021-16886 漏洞时,攻击者可能会创建一个定制的脚本,以利用漏洞中存在的软件错误。这个脚本可能包含诸如代码注入、命令执行、文件包含等恶意操作,以便攻击者获取对系统的完全控制或进行其他恶意活动。 为了保护受影响的系统免受这一漏洞的攻击,管理员们应该立即采取行动。这包括及时升级软件以修复漏洞,或者使用补丁程序来修复软件中的错误。此外,还应增加系统的安全性,例如通过配置防火墙、加密通信和访问控制等手段来加强系统防御能力。 总之,通过利用脚本来利用 cnvd-2021-16886 漏洞,攻击者可以执行恶意代码并可能获取对受影响系统的控制。为了保护系统安全,及时修复漏洞并加强系统的安全配置是必要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值