华天OA任意文件上传漏洞 复现

已于 2023-10-09 17:11:36 修改
阅读量690 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: java 开发语言 系统安全 安全 web安全 网络安全
于 2023-10-09 17:09:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/133708181
版权
本文详细介绍了华天协同办公系统的一个任意文件上传漏洞,包括漏洞描述、影响版本、复现步骤以及修复建议。攻击者利用此漏洞可获取服务器敏感信息,修复措施包括权限控制、加强认证和提升后台安全性。
摘要由CSDN通过智能技术生成

文章目录

华天OA任意文件上传漏洞 复现

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

华天动力协同办公系统将先进的管理思想、管理模式和软件技术、网络技术相结合,为用户提供了低成本、高效能的协同办公和管理平台。睿智的管理者通过使用华天动力协同办公平台,在加强规范工作流程、强化团队执行、推动精细管理、促进营业增长等工作中取得了良好的成效。

该OA系统存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器的敏感信息。

0x03 影响版本

华天动力OA系统

0x04 漏洞环境

FOFA语法:body=“/OAapp/WebObjects/OAapp.woa” || body=“/OAapp/htpages/app”

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
华天动力-OA8000 MyHttpServlet 文件上传漏洞复现
0xSec
11-29 1659
华天动力OAMyHttpServlet存在任意文件上传漏洞,未经身份认证的攻击者可上传恶意的raq文件并执行raq文件中的任意sql语句,获取用户账号密码等敏感信息。
华天动力OA downloadWpsFile接口处任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-26 160
华天动力OA downloadWpsFile接口处存在任意 文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
华天动力OA8000 ntkoupload.jsp 任意文件上传漏洞[CNVD-2022-54886]复现
qq_53733257的博客
12-21 1265
华天动力OA8000 ntkoupload.jsp 任意文件上传漏洞[CNVD-2022-54886]复现
漏洞复现华天动力-OA-ntkoupload-文件上传
知黑而守白
01-11 275
华天动力OA是一个以技术领先著称的协同软件产品,拥有领先业界的三大核心技术:协同平台、工作流和智能报表,是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品,也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。华天动力OA系统中的 ntkoupload 接口存在文件上传漏洞。未经身份认证的攻击者通过该漏洞上传恶意文件,可能导致恶意代码执行、身份伪造、后门植入、敏感数据泄露等问题。
华天动力OA办公系统存在未授权访问漏洞(新)-漏洞挖掘
weixin_43167326的博客
01-20 897
华天动力协同办公系统将先进的管理思想、管理模式和软件技术、网络技术相结合,为用户提供了低成本、高效能的协同办公和管理平台。睿智的管理者通过使用华天动力协同办公平台,在加强规范工作流程、强化团队执行、推动精细管理、促进营业增长等工作中取得了良好的成效。华天动力OA存在未授权访问漏洞,攻击者可以读取用户信息,读取敏感信息等,利用。请自行搭建环境进行漏洞测试,该公众号或作者星球分享的工具、项目、漏洞仅供安全研究与学习之用请勿用于非法行为,如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。
华天动力OA TemplateService 任意文件读取漏洞复现
0xSec
12-28 1509
华天动力OA TemplateService接口处存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
华天动力OA downloadWpsFile.jsp 任意文件读取漏洞复现
最新发布
0xSec
07-26 510
华天动力OAdownloadWpsFile.jsp 接口处存在任意文件读取漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感文件,使系统处于极不安全的状态。
时空智友企业管控系统文件上传漏洞复现
09-18 502
时空智友企业流程化管控系统是一款企业信息管理软件,致力于协助大健康企业构建内部信息化,解决GSP管理、多组织管理、财务管理、税控管理、线上线下一体化等问题。该系统可以帮助企业实现流程化管控,提高工作效率和管理水平。
浙大恩特客户资源管理系统任意文件上传漏洞复现
0xSec
11-10 1610
浙大恩特客户资源管理系统中fileupload.jsp、CustomerAction.entphone、MailAction.entphone、machord_doc.jsp等接口处存在文件上传漏洞,未经身份认证的攻击者可以上传任意后门文件,最终可导致服务器失陷。
华天动力OA ntkoFile接口任意文件读取漏洞
weixin_43167326的博客
02-02 254
华天动力OA是一个以技术领先著称的协同软件产品,拥有领先业界的三大核心技术:协同平台、工作流和智能报表,是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品,也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。请自行搭建环境进行漏洞测试,该公众号或作者星球分享的工具、项目、漏洞仅供安全研究与学习之用请勿用于非法行为,如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。或点击链接关注渗透安全HackTwo回复"完整1day POC及漏洞利用,
漏洞复现华天动力-OA-TemplateService-任意文件读取
知黑而守白
01-11 216
华天动力OA是一个以技术领先著称的协同软件产品,拥有领先业界的三大核心技术:协同平台、工作流和智能报表,是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品,也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。华天动力-OA系统中的 ntkodownload 接口存在文件读取漏洞。攻击者可以通过发送特定的POST请求,利用该漏洞获取系统敏感文件。
【1day】复现海康威视综合安防管理平台前台任意文件上传漏洞
记录并分享学习安全的知识点..
07-07 1782
HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,海康威视isecure center 综合安防管理平台存在任意文件上传漏洞
华天动力OA ntkodownload.jsp 任意文件读取漏洞(含批量验证poc)
weixin_43567873的博客
04-07 174
华天动力OA ntkodownload.jsp 任意文件读取漏洞(含批量验证poc)
易思智能物流无人值守系统文件上传漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-11 265
智能物流无人值守是针对流程生产企业原料采购、产成品销售及厂内物流的统一管控智能信息化平台。目的:全企业产供销业务的集成管理,无人值守计量、降本增效、机器替代人工,优化物流资源管控体系。该系统5.0版本/Sys_ReportFile/ImportReport接口处存在任意文件上传漏洞没有人规定,一朵花一定要成长为向日葵或者玫瑰。
海康威视iVMS综合安防系统文件上传漏洞复现
The current road is different, love needs to distinguish between right and wrong
11-02 524
海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
华天动力 ntkodownload 任意文件读取漏洞
qq_36334672的博客
02-04 334
华天动力OA是一个以技术领先著称的协同软件产品,拥有领先业界的三大核心技术:协同平台、工作流和智能报表,是业内唯一实现协同工具软件、协同应用软件、协同平台融合的协同软件产品,也是业内唯一所有版本统一平台、统一服务、统一升级的协同软件产品。华天动力OA ntkodownload.jsp接口处存在任意文件读取漏洞,恶意攻击者可能会利用此漏洞获取敏感信息,造成信息泄露。
亿某通电子文档安全管理系统任意文件上传漏洞 CNVD-2023-59471
afei001
09-20 1096
亿某通电子文档安全管理系统是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。亿赛通电子文档安全管理系统UploadFileFromClientServiceForClient接口处存在任意文件上传漏洞,未经授权的攻击者可通过此漏洞上传恶意后门文件,从而获取服务器权限。
华天协同OA系统:战略桥接与技术优势详解
华天协同OA系统是一款高效、全面的管理信息系统解决方案,旨在为企业提供战略执行的桥梁。该系统以五大应用为核心,强调用户体验和业务流程的无缝整合。其主要功能包括: 1. 产品作用与理念: - 华天协同OA系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值