【漏洞复现】泛微 e-cology v10.0 远程代码执行漏洞

于 2024-08-23 17:36:50 发布
阅读量81 收藏
点赞数 4
分类专栏: 漏洞复现 Web安全 文章标签: e-cology
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/141468433
版权

文章目录

前言

泛微Ecology-10.0存在远程代码执行漏洞,该漏洞通过Ecology-10.0获取管理员访问令牌,然后通过JDBC反序列化和实现RCE,系统必须依赖于 H2 数据库。

声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、漏洞简介

泛微e-cology是一套功能丰富的协同管理应用平台,集成了企业信息门户知识管理数据中心工作流管理人力资源管理客户与合作伙伴管理项目管理财务管理资产管理等多项功能。该漏洞通过Ecology-10.0获取管理员访问令牌,然后通过JDBC反序列化实现RCE,系统依赖于H2 数据库。

二、影响范围

泛微 e-cology 10.0 版本

三、漏洞复现

FOFA:icon_hash="-1619753057"

在这里插入图片描述

了解本专栏 订阅专栏 解锁全文 超级会员免费看
李火火安全阁
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
泛微E-cology8管理员后端维护手册全套
09-30
泛微E-cology8是一款企业级的协同办公自动化(OA)系统,专为现代企业管理设计,提供全面的后端维护支持。这套“泛微E-cology8管理员后端维护手册全套”涵盖了OA系统中所有后端模块的详细操作和维护指南,旨在帮助...
泛微e-officev10.0_20220809标准补丁(适用于v10.0_20180119及以上版本)
08-26
版本: 10.0_20220809 发布日期: 2022-08-10 适合升级版本: 10.0_20180119版 说明: 补丁包是累计的,故20220809版本包含历史补丁包内容。 安装注意事项 *************必须执行备份后才允许安装补丁*************...
泛微e-cology OA Beanshell组件远程代码执行漏洞批量检测脚本
09-26
对2019年9月新爆的泛微e-cology OA Beanshell组件远程代码执行漏洞进行漏洞检测。 使用方法: 1、运行url存活检测脚本e-cology_OA_rce.py批量定位泛微OA业务。 e-cology_OA_rce.py –t 1.txt 2、运行检测脚本判断...
LSD- a Line Segment Detector - article
08-22
LSD- a Line Segment Detector - article
这是一个基于node.js和mongodb的简单后台管理系统.zip
08-22
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
vue.js+node.js 毕业设计 ----- 校园信息发布平台.zip
08-22
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
python-env-manager.vsix
08-22
python-env-manager.vsix
基于Java+Springboot+Vue开发的医院门诊预约挂号系统(前后端分离)
08-22
该项目是基于Java+Springboot+Vue开发的医院门诊预约挂号系统(前后端分离),这是一项为大学生课程设计作业而开发的项目。 该系统旨在帮助大学生学习并掌握Java编程技能,同时锻炼他们的项目设计与开发能力。通过学习基于Java的门诊预约挂号管理系统项目,大学生可以在实践中学习和提升自己的能力,为以后的职业发展打下坚实基础。 医生管理:管理系统可以录入、修改和查询医生的基本信息,如名称、价格、职称、备注等。 类型管理:系统可以管理医生的类型信息,包括类型的名称等。 评论管理:管理和浏览整个网站的评论信息。 用户管理:管理和浏览网站的用户信息,可以新增、编辑和删除用户。 统计分析:系统可以根据医生的活动数据和用户参与度进行统计和分析,帮助管理员了解整个系统的状况。 消息管理:医生管理员可以在系统上发布消息,整个网站的用户都能收到。 广告管理:医生管理员可以在系统上发布广告消息,然后在详情页面右侧展示。 意见反馈:医生管理员可以在后台查看浏览用户提交的意见反馈信息。 系统信息:管理员可以查看系统的基本信息,包括系统名称、服务器信息、内存信息、cpu信息、软件信息等。
毕业设计,基于SpringBoot+Vue+MySQL开发的房地产销售管理系统,源码+数据库+开题报告+毕业论文+视频演示
08-22
毕业设计,基于SpringBoot+Vue+MySQL开发的房地产销售管理系统,源码+数据库+开题报告+毕业论文+视频演示 社会和科技的不断进步带来更便利的生活,计算机技术也越来越平民化。二十一世纪是数据时代,各种信息经过统计分析都可以得到想要的结果,所以也可以更好的为人们工作、生活服务。房屋是生活条件的一部分,所以需求量非常大。把计算机技术和房地产销售相结合可以更符合现代、用户的要求,实现更为方便的销售房屋的方式。 本基于JAVA的房地产销售管理系统采用JAVA语言和Vue技术,框架采用Springboot,搭配Mysql数据库,运行在Idea里。本基于JAVA的房地产销售管理系统提供管理员、客户、销售经理三种角色的服务。总的功能包括房产的查询、预约、评价、购买和论坛管理等。本系统可以帮助管理员、销售经理更新房产信息和管理预约、购买信息,帮助客户实现在线的预约方式,并可以实现购买。本系统采用成熟技术开发可以完成房地产销售管理的相关工作。 关键词:在线预约;购置房产;JAVA语言;Mysql数据库;论坛管理;Spring Boot
BasicLibrary是基于kotlin+jetpack+mvvm封装的一套框架,提高Android开发效率.zip
08-22
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
使用原生PHP写的一个古诗词检索系统.zip
08-22
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
srach周五夜放克 12132
08-22
周五夜放克.
数字化项目规划设计方案.pptx
08-22
数字化项目规划设计方案
福建工程学院ACM在线刷题平台 Android.zip
08-22
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
智慧供水数字化解决方案.pptx
08-22
智慧供水数字化解决方案
如何追踪QMediaPlayer的播放进度:获取当前播放位置指南
最新发布
08-22
在Qt框架中,QMediaPlayer是一个功能强大的多媒体播放类,它支持多种媒体格式和播放控制。开发者在使用QMediaPlayer时,经常需要获取当前的播放位置,以便实现进度条、播放位置跳转等功能。本文将详细介绍如何使用QMediaPlayer获取当前播放位置,并通过代码示例展示其使用方法。 通过本文的介绍,你应该已经了解了如何使用QMediaPlayer来获取当前的播放位置,并将其应用于进度条等UI元素的更新。QMediaPlayer的强大功能和灵活性使其成为Qt开发中处理多媒体内容的理想选择。掌握这些基本操作后,你可以进一步探索QMediaPlayer的其他高级特性,如播放列表管理、音视频同步等,以丰富你的应用程序功能。 本文详细介绍了QMediaPlayer的基本概念、获取当前播放位置的方法、实时更新播放位置的实现,以及在实际应用中的示例代码。通过这些内容,开发者可以更好地利用Qt框架中的多媒体功能,为用户提供更加丰富和流畅的媒体播放体验。
蓝桥杯竞赛:探索编程与设计的艺术融合
08-22
蓝桥杯全国软件和信息技术专业人才大赛是一个由工业和信息化部人才交流中心主办的全国性IT学科赛事。自2010年起,每年举办一次,旨在促进软件和信息技术领域专业技术人才的培养,提升高校毕业生的就业竞争力 。蓝桥杯大赛已经成为国内领先的IT学科赛事,吸引了包括北京大学、清华大学等1900余所高校参与,参赛选手总人数突破120万 。 蓝桥杯大赛包括多个赛项,如C/C++程序设计、Java软件开发、Python程序设计、Web应用开发等,面向具有正式全日制学籍的研究生、本科生及高职高专学生开放报名 。大赛的奖励规则包括省赛和总决赛两个阶段,每个组别都设置了一、二、三等奖及优秀奖 。 蓝桥杯大赛不仅是一个竞技平台,也是一个教育改革和创新人才培养的重要项目,有助于激发学生的学习热情,提升教学质量 。同时,大赛也得到了教育部门和各省教育厅的高度认可,连续五年入选中国高等教育学会发布的“全国普通高校学科竞赛排行榜” 。 对于参赛者来说,蓝桥杯大赛不仅是展示自己专业技能的舞台,也是一个获得就业机会的平台。获奖选手除了可以获得荣誉证书外,还有机会获得知名企业提供的实习、工作绿色通道 。大赛的评审工作由
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值