摘要:本次给大家分享的是四叶草安全漏洞插件社区成员“11115”童鞋提交的“泛微e-weaver系统codeEdit.jsp Getshell漏洞”
什么是泛微e-weaver系统?
泛微e-weaver(泛微协同管理配置平台)。继承e-cology八大功能模块应用,并可进一步打通企业更深层的个性管理需求,基于“协同”思想打造全面整合企业管理资源的环境。e-weaver基于“工作流引擎+卡片/表单+组件”模式,全面开放已有八大功能的配置应用,同时还可以根据用户个性的管理需求,增添企业独立的应用模块功能,从而形成完全符合自身企业的全面协同管理应用解决方案。
功能界面如下图所示
可以看到系统功能较为强大,包括工作内容,人力资源,客户信息,商务合同,考勤收款等等皆可进行操作,公司内部从人员信息到财务信息再到各种细节都有涉及,功能肾(甚)是强大,看的小编我可是目瞪口呆!
漏洞危害:
小编无耻的从某度找到了一个存在漏洞的站点,( ̄0  ̄)y,警察叔叔千万别跨省(不服你xx的来打我啊)
小编我祭出插件杀器,毫不费力,获得了Webshell
由于本程序的脚本语言是JSP,WEB容器运行的权限比较大,小编可是直接获得了服务器权限,并成功加入新的用户提升到administrator权限。
站在企业安全的角度上来看,想想还是有点后怕,安全问题重于泰山,非一日之事,欢迎大家前来检查自家网站的漏洞,也欢迎小伙伴们来插件社区提交新的漏洞插件哦~
企业OS:( ‘-ωก̀ ),你XX的就这么把我搞了?心好累
漏洞检查插件:
转载自四叶草安全漏洞插件社区
资讯/漏洞/插件/心得
关注“七安全”
微信ID:qi_anquan
长按二维码关注七安全
原文始发于微信公众号(雁行安全团队):每周一插 | 你的企业真的安全吗?(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论