0x01阅读须知
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
0x02漏洞概述
泛微e-weaver是一款企业级的协同办公系统,旨在帮助企业实现内部流程的数字化、智能化管理。该系统集成了多种功能模块,如任务管理、文档共享、流程审批、日程安排等,满足了企业日常办公的多种需求。e-weaver的特点在于其强大的自定义能力和灵活的配置选项,企业可以根据自身需求进行个性化的系统搭建,使得系统更加贴近实际工作流程。此外,该系统还支持多种终端设备的访问,如PC、手机、平板等,使得员工可以随时随地处理工作事务,提高了办公效率。
0x03漏洞描述
此漏洞通常存在用户登录页面,由于未统一返回的内容,即输入不存在的用户时会出现“用户名不存在”等字样,导致用户名的枚举 示例: 输入不存在的用户 输入正确的用户名 修复建议:建议对网站登录页面的判断回显信息修改为一致:用户名或密码错误。
fofa
Fofa语法:
app="泛微-E-Weaver"
0x04POC利用
完整1day 0day POC及漏洞利用,请点击下方链接查看文章,在文章末尾加入星球获取。或点击链接关注渗透安全HackTwo回复" 星球 "进入领取poc
此地2 >>>点击全面了解星球内部VIP介绍获取更多0/1day漏洞POC-末尾加入星球
2024更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至570+需要的加入星球获取
一些漏洞报告200+(仅列举部分)加入星球获取更多资源及视频资源持续更新中!
需要加入内部知识星球可点击上方链接,资源包含但不限于网上未公开的day漏洞(更新漏洞POC共500+),2024最新企业SRC/CNVD/Edu实战挖掘技巧报告,红队内网横向渗透,代码审计,JS逆向,SRC培训等课程。圈子对新人友好,加入圈子拥有FOFA shadan 360Quake ZoomEye Tide 零零信安Hunter等等高级会员账号,SRC文档,武器库。圈子里面资料价值至少在10K以上,目前星球内部主题400+,资源2000+,其他和网盘资源1w+并持续更新中,越早加入价格越低。