泛微ecology OA系统配置文件泄露

0x00 漏洞描述

协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞，如攻击者可直接访问数据库，则可直接获取用户数据，甚至可以直接控制数据库服务器。

0x01 漏洞复现

使用payload进行验证，直接访问该页面将为DES加密以后的乱码，需要使用DES算法结合硬编码的key进行解密。

该payload是利用Des密钥进行密文解密，如密钥不是1z2x3c4v5b6n，则不成功。

0x02 修复建议

                                            https://www.weaver.com.cn/cs/package/JDK/Ecology_security_DB_20191024.zip

手握日月摘星辰，安全路上永不止步。

                                                      - Khan攻防安全实验室

本文始发于微信公众号（Khan安全攻防实验室）：泛微ecology OA系统配置文件泄露