泛微E-Office mobile_upload_save接口任意文件上传漏洞复现 [附POC]

于 2024-08-01 17:35:01 发布
阅读量351 收藏
点赞数 19
分类专栏: 漏洞复现 文章标签: 安全 网络安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/140853265
版权

文章目录

泛微E-Office mobile_upload_save接口任意文件上传漏洞复现 [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。

泛微e-office系统其mobile_upload_save接口存在任意文件上传漏洞,未经身份验证的远程攻击者可利用此漏洞上传任意文件,在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

0x03 影响版本

泛微e-office系统

0x04 漏洞环境

FOFA语法:app=“泛微-EOffice”
在这里插入图片描述

0x05 漏洞复现

1.访问漏洞

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
  • 19
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现泛微e-office系统ajax.php接口存在任意文件上传漏洞
失心少年
04-18 323
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!泛微 E-Office 9.5版本存在代码问题漏洞泛微e-office系统ajax.php接口存在任意文件上传漏洞漏洞链接:http://127.0.0.1/E-mobile/App/Ajax/ajax.php?
泛微 E-Office文件上传漏洞复现(CVE-2023-2523、CVE-2023-2648)
热门推荐
0xSec
05-23 1万+
泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。泛微e-office 9.5版本,源文件 App/Ajax/ajax.php?action=mobile_upload_save 的一些未知功能存在问题。参数 upload_quwan 的操作导致不受限制的上传,未经身份验证的恶意攻击者通过上传恶意文件,从而获取目标服务器的控制权限。
漏洞复现泛微E-Office mobile_upload_save存在任意文件上传漏洞
qq_34780861的博客
04-17 384
鹰图:app.name="泛微 e-office OA"
泛微 E-Office文件上传漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
08-15 1119
泛微OA是中国领先的OA办公自动化产品商,是一套集OA、合作、工作流一体化的企业级信息化管理软件。它可以帮助企业实践现办公自动化、信息协同、决策智能化等功能,提升企业生产效率和管理水平,是企业数字化转型和数字化办公的好工具。泛微OA提供了完整的办公自动化解决方案,包括邮件管理、日程管理、文档管理、签批审查、会议管理、考勤管理、人力资源管理等模块,支持PC端、移动端多种应用场景。同时,它还可以与各种企业管理系统(如ERP、CRM等系统)进行整合,形成完整的业务流程和信息链条。漏洞概述。
漏洞预警】泛微E-mobile v9.5任意文件上传漏洞
做自己喜欢的事,并将其发挥到极致!
05-31 4653
泛微 E-mobile v9.5 存在任意文件上传漏洞
漏洞复现-泛微WeaverOA系列
aming小老弟
10-03 1080
泛微OA
泛微最新漏洞汇总----实时更新!!!
yggcwhat
07-31 4516
泛微最新漏洞汇总
全网最强泛微漏洞综合利用工具
Wulai399的博客
06-20 2105
26个poc集成,检测并利用,攻防神器
【护网必备】高危漏洞综合利用工具
Fly_鹏程万里
06-04 901
yongyou_chajet_RCE (用友畅捷通T+ rce 默认写入哥斯拉 Cshap/Cshap_aes_base64)e-cology workrelate_uploadOperation.jsp-RCE (默认写入冰蝎4.0.3aes)yongyou_NC_FileReceiveServlet-RCE 反序列化rce (默认写入冰蝎4.0.3aes)e-office logo_UploadFile.php-RCE (默认写入冰蝎4.0.3aes)
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office V10.0版本中,设置短信发送功能需要通过泛微短信接口进行开发。下面将详细介绍泛微e-office短信插件的设置步骤和泛微短信接口的开发过程。 一、泛微e-office短信插件设置 泛微e-office短信插件是...
泛微e-officev10.0_20220809标准补丁(适用于v10.0_20180119及以上版本)
08-26
版本: 10.0_20220809 发布日期: 2022-08-10 适合升级版本: 10.0_20180119版 说明: 补丁包是累计的,故20220809版本包含历史补丁包内容。 安装注意事项 *************必须执行备份后才允许安装补丁*************...
泛微e-officev10.0_20180913标准补丁程序(适用于v10.0_20180119及以上版本)
11-12
泛微e-office是一款知名的协同办公自动化系统,专为企业提供高效、智能的管理解决方案。这款v10.0_20180913标准补丁程序是针对泛微e-office v10.0系列的一个重要更新,尤其适用于v10.0_20180119及以上的版本。补丁...
泛微e-office10to11升级包(适用10.0-20221012)
12-20
泛微协同办公平台e-office10 to e-office11升级包(适用10.0_20221012) 版本: 11.0_2022 发布日期: 2022-11-22 适合升级版本: 10.0_20221012版 注意事项: 1.标准升级程序包,不适用于做过二次开发的10.0系统,...
泛微e-officev10.0_20181031标准补丁程序(适用于v10.0_20180119及以上版本)
11-07
泛微e-office是一款知名的协同办公自动化系统,专为企业提供高效的管理解决方案。该系统以其灵活性、易用性和可扩展性在IT行业中备受推崇。标题提到的"泛微e-office v10.0_20181031标准补丁程序"是针对泛微e-office ...
科普文:Linux系统安全加固指南
最新发布
为无为,事无事,味无味。
07-25 1188
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8357
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 697
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
网络安全相关竞赛比赛
黑战士的博客
07-18 1374
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
泛微e-officev10.0_20220809标准补丁
12-09
泛微e-officev10.0_20220809标准补丁是泛微公司针对e-officev10.0版本发布的一项更新补丁。该补丁的发布旨在修复e-officev10.0版本中已知的一些问题,提升系统的稳定性和安全性,增强用户体验。 补丁的更新内容主要包括对系统功能的优化和bug修复。比如,可能会修复一些系统在特定情况下出现的闪退或卡顿问题,改进一些功能的操作流程以提升用户的使用体验,同时加强系统的安全性,对一些已知的安全漏洞进行修复,以保障系统和用户的数据安全。 对于企业来说,及时安装最新的补丁是非常重要的。因为补丁的更新往往意味着系统的问题得到了解决,安全性得到了提升,这可以帮助企业避免一些潜在的风险和损失。另外,及时更新补丁也有助于保持系统的良好运行状态,提高员工的工作效率。 安装泛微e-officev10.0_20220809标准补丁的过程相对来说比较简单,企业可以参照官方提供的更新指南进行操作,确保安装过程顺利完成。在安装完毕之后,企业可以进行相应的测试,验证系统是否正常运行,以确保补丁的有效性。 总的来说,泛微e-officev10.0_20220809标准补丁的发布对于企业用户来说是一次有益的更新,可以帮助企业提升系统的稳定性和安全性,提升工作效率。因此,建议企业尽快安装该补丁,享受更新带来的便利和保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值