泛微ecology OA系统配置文件泄露

admin
admin
admin
139024
文章
114
评论
2021年12月3日09:19:16评论219 views字数 424阅读1分24秒阅读模式

0x00 漏洞描述


协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。

0x01 漏洞复现


使用payload进行验证,直接访问该页面将为DES加密以后的乱码,需要使用DES算法结合硬编码的key进行解密。

泛微ecology OA系统配置文件泄露

该payload是利用Des密钥进行密文解密,如密钥不是1z2x3c4v5b6n,则不成功。

泛微ecology OA系统配置文件泄露


0x02 修复建议

                                            https://www.weaver.com.cn/cs/package/JDK/Ecology_security_DB_20191024.zip




手握日月摘星辰,安全路上永不止步。

                                                      - Khan攻防安全实验室


本文始发于微信公众号(Khan安全攻防实验室):泛微ecology OA系统配置文件泄露

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日09:19:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   泛微ecology OA系统配置文件泄露https://cn-sec.com/archives/536647.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息