工具介绍 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前只编写了oa系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前...
009-实战总结篇-ecology v9 browser.jsp SQL注入漏洞利用
前言世事一场大梦,人生几度秋凉本文记录的是:在一场小型攻防演练中使用N day(cology9 browser.jsp SQL注入漏洞)+0 day从而getshell直捣内网的秋凉故事主线剧情靶标单...
Fuzzing 在 Java 漏洞挖掘中的应用
前段时间 ecology 密集发布了一系列补丁,修复几个笔者之前储备的 0day,本文就来介绍其中一个列比较有意思的,以及分享一下相关的挖掘思路。背景最近几个月笔者都在研究 Java Web 方向,一...
泛微Ecology Mssql注入后利用
0x00 前言三月份,网上公开了个某微SQL注入漏洞,网上师傅们已经详细分析过该漏洞。本篇文章主要记录漏洞复现过程中,关于一些已验证的漏洞后利用方式。0x01 漏洞验证利用网上的POC验证是否存在漏洞...
【漏洞预警】泛微 E-Cology 前台文件上传漏洞
基本信息:漏洞类型任意文件上传(GetShell)漏洞等级:高危漏洞描述:泛微协同管理应用平台(E-Cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管...
New 泛微E-Cology XML外部实体注入漏洞
近日,泛微发布了 E-Cology 8.x 和 E-Cology 9.x 的10.58.2 版本的安全补丁,修复了一处 XML 外部实体注入漏洞,漏洞公开编号:暂无,漏洞危害等级:严重。远程未授权攻击...
漏洞预警 | 泛微 E-Cology XML外部实体注入漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述泛微协同管理应用平台E-Cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资...
泛微 E-cology SQL注入漏洞 POC
id: ecology-oa-filedownloadforoutdoc-sqliinfo: name: EcologyOA filedownloadforoutdoc - SQL injection...
泛微 E-cology XXE漏洞 附检测POC
免责声明:本文章或工具仅供安全研究使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,极致攻防实验室及文章作者不为此承担...
泛微OA e-cology FileDownloadForOutDoc前台SQL注入漏洞利用
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 一、漏洞说明 泛微e-co...
【漏洞预警】泛微OA e-cology XXE 漏洞
泛微OA e-cology XXE 漏洞01 漏洞描述泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、...
【漏洞复现】泛微 e-cology 前台SQL注入漏洞
0x01 阅读须知 天擎攻防实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进...