记一次在梦中对某oa系统的漏洞挖掘

最新推荐文章于 2024-05-16 01:16:13 发布
最新推荐文章于 2024-05-16 01:16:13 发布
阅读量2.9k 收藏 8
点赞数 1
分类专栏: 网络安全 文章标签: 安全漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40418457/article/details/121274334
版权
博主在梦中对某OA系统进行漏洞挖掘,通过目录遍历发现Log泄露,利用日志收集到用户名并成功爆破弱口令。进一步发现文件上传漏洞,仅前端校验后缀可绕过。接着,利用SQL注入可能,通过burp和sqlmap验证存在SQL注入漏洞。最后,梦境醒来,强调挖洞需要耐心和细心。
摘要由CSDN通过智能技术生成

0X01正文

打开网站……

1

先用7kb扫一波目录。

2

哦吼,发现了一堆的目录遍历(绿色的都是)

这里一个 Log目录十分的显眼,很有可能造成log泄露。

3

okey,如我所料

收获了一个通用中危洞 √

4

27450-kwvsjna88f.png

同时我找到了代表用户名的dlm

5

接下来,我就从日志文件中收集了一波泄露用户名,然后爆破它

6

最低0.47元/天 解锁文章
火线安全
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
7-Zip安装教程(非常详细)从零基础入门到精通,看完这一篇就够了(附安装包)(1)
2401_84852050的博客
05-10 588
7-Zip是种全新的压缩格式,它拥有极高的压缩比,号称有着现今最高压缩比的压缩软件,它不仅支持独有的7-Zip文件格式,而且还支持各种其它压缩文件格式,较同类软件在压缩比方面高出一大部分。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。(都打包成一块的了,不能一一展开,总共300多集)
通达OA 前台任意用户登录漏洞getshell
Summer's blog
05-13 1万+
前言    本次文章可以分为两部分,第一部分通达OA前台管理员伪造登录,第二部分后台附件getshell。作为一个笔吧。 漏洞复现 管理员伪造登录 找到后台登录地址抓包修改url 删除cookie目的是返回管理员cookie 删除encode_type=1后面的值,替换成UID=1 后台getshell 找到附件管理,看看有没有附件保存地址。若没有,则添加个。 在会话页面找到自己,发...
2024年鸿蒙最新【刻刀】OA综合漏洞检测工具大全_oa系统漏洞检测(4),dubbo面试题总结
2401_84851550的博客
05-16 246
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
蓝凌OA漏洞复现
热门推荐
混子
12-13 2万+
又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA
【漏洞复现】广联达OA漏洞合集(信息泄露+SQL注入+文件上传)
做自己喜欢的事,并将其发挥到极致!
09-18 3389
广联达 Linkworks 办公OA(Office Automation)是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。广联达OA曝出多处漏洞,攻击者可通过该漏洞获取服务器敏感数据信息,注入恶意Payload获得服务器控制权限。
漏洞复现-通达TongdaOA系列
aming小老弟
10-03 4234
通达OA 网络智能办公系统 是由北京通达信科科技有限公司开发的一款办公系统采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。自主研发的协同办公自动化软件,是与国企业管理实践相结合形成的综合管理办公平台2015年,通达云OA入驻阿里云企业应用专区,为众多小企业提供稳定、可靠的云计算支撑。
通达OA系统11.2漏洞
qq_50854662的博客
12-02 4795
以通达OA系统11.2版本为案例的Web渗透
oa系统在油田的应用.pptx
04-14
OA系统在油田的应用】 OA系统,全称为Office Automation,是将现代化办公与计算机网络技术相结合的一种新型办公方式。在油田这样的大型企业OA系统对于提高工作效率、规范工作流程以及降低成本具有重要意义...
OA系统在煤炭企业的应用实践-论文
07-08
OA系统煤科工集团西安研究院的建设与实施为例,通过前期调研、制作实施、测试上线、运维管理介绍了OA系统在企业的建设过程;阐述了OA系统上线后带来的优势和办公体验的改善提升,并分别针对建设和上线后存在...
springboot某银行OA系统源码+论文.rar
最新发布
06-30
在互联网信息技术时代,企业管理更多的是使用管理系统进行智能化控制,提高单位的核心竞争力,适应快节奏的生产活动。银行OA系统是为企业提供的一整套便于企业管理的应用软件,是目前企业管理的必备系统。通过走访...
某企业OA系统的设计与实现.docx
05-26
某企业OA系统的设计与实现
Dream项目管理系统 v1.1
10-24
功能介绍Dream项目管理系统(又称:想项目管理系统)是一款基于PHP+Mysql开发的一款Bug管理系统,系统内置项目管理、bug提交、bug百科、出差日志、用户管理、组别管理、部门管理,同时系统还能动态开启子公司,当您的公司有多家分公司时,同时拥有邮件提醒和站内信息提醒功能,让用户再最短的时间内了解项目的问题详情并迅速解决。该系统默认是设计成软件公司或电子科技公司开发模式,下载安装即可直接使用。其他行业,只需在后台的设置稍作修改即可立即使用。扩展简单方便,又同时拥有Winner权限管理系统的强大权限控制流程。以项目管理为主,Bug管理为辅,实时的掌握项目的开发进度与问题修复情况。系统设计大部分采用动态修改模式,左侧菜单栏、联动数据、系统参数配置等都是采用后台添加修改,使用方便简单。内置了6套皮肤切换,邮件发送等功能,您无需再重新开发这些附加功能。数据加载基本采用json数据流,让系统更高效更稳定。Dream后端采用了ThinkPHP,前端采用EasyUI库等主流框架开发而成,文api说明文档详细。让开发者上手迅速,使用起来得心应手,从而最大程度的缩短开发周期,降低开发成本。入
通达OA inc/package/down.php接口存在未授权访问漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
12-04 667
通达OA(Office Anywhere网络智能办公系统)是由通达信科科技自主研发的协同办公自动化软件,是与国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。此外,通达OA通过融合不同的信息化资源,打通信息“孤岛”,精细化流程管理,改善管理模式,实现资源的优化配置和高效运转,全面提升企业竞争力。
【Web实战】对通达OA11前台RCE的两个漏洞的分析与调优
2301_80127209的博客
11-16 334
由于已经有师傅对于如何触发反序列化的方法和代码进行了说明,这里我也就不拾人牙慧,主要谈一谈这里反序列化链的挖掘。具体的触发流程可以参考目前网上也出现了一些分析反序列化链的分析,但是目前我看到的大部分分析走的反序列化链都是通达OA自己实现了一个redis的Connection类进行攻击的poc。但是这个链,我个人认为是不够完善的。因为首先这个链设计到了socket的连接问题,可能会有一定的不稳定性和延迟。其次这条链的序列化数据比较长。那么能不能通过yii2框架的自带的链子进行更加稳定的反序列化链的触发呢。
蓝凌(Landray)OA漏洞常见RCE
qq_53385700的博客
01-12 1万+
蓝凌OA常见RCE的poc
九思OA wap.do 任意文件读取漏洞复现
0xSec
12-21 1270
北京九思协同办公软件wap.do接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
OA系统漏洞
Aquarius_ego的博客
05-14 4780
OA系统介绍及相关漏洞(不断更新哦~)
致远OA敏感信息泄露漏洞合集(含批量检测POC)
今天是几号的博客
03-21 7852
用友致远OA协同管理软件为企事业组织提供了一个协同办公门户和管理平台,涵盖了组织运营涉及的协作管理、审批管理、资源管理、知识管理、文化管理、公文管理等内容,支持企事业组织的信息化扩展应用,能有效帮助组织解决战略落地、文化建设、规范管理、资源整合、运营管控等难题,是组织管理的最佳实践。产品系列: A3、A6、A8品牌: 用友对象: 微型、小型企业、企业部门级。
小企业网络OA系统:提升效率与协同办公
"OA小企业办公自动化系统演示.pptx - 系统演示介绍,适用于小企业,旨在提高办公效率和资源共享" 办公自动化(OA)系统是为了提升工作效率和质量,通过结合先进的信息技术,实现办公业务活动的自动化处理。这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值