泛微OA检测工具-weaver_exp(二)

最新推荐文章于 2024-10-01 15:20:30 发布

SuperherRo

最新推荐文章于 2024-10-01 15:20:30 发布

阅读量527

点赞数

CC 4.0 BY-SA版权

分类专栏： # OA检测工具文章标签：泛微 OA weaver

本文链接：https://blog.csdn.net/m0_60571842/article/details/134412270

OA检测工具专栏收录该内容

15 篇文章

订阅专栏

本文详细列举了泛微OA系统中的多个漏洞，包括文件读取、SQL注入、RCE漏洞和数据库配置信息泄露，提供了一些利用脚本示例，提醒用户注意系统安全更新。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

泛微OA漏洞综合利用脚本

项目地址
https://github.com/z1un/weaver_exp
在这里插入图片描述
当前集合漏洞：

泛微云桥任意文件读取

泛微OA V8前台Sql注入

泛微OA WorkflowServiceXml RCE CNVD-2019-32204

泛微OA weaver.common.Ctrl 任意文件上传

泛微OA Bsh RCE

泛微OA WorkflowCenterTreeData接口SQL注入(仅限oracle数据库) CNVD-2019-34241

泛微OA E-Cology 数据库配置信息泄漏

泛微OA V9 任意文件上传（未完成，测试ing）

先写了这些，也欢迎补充～

其中/poc下的利用脚本均可独立使用。

python3 poc.py url

Usage:

python3 main.py -f filename

python3 main.py -u url

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

SuperherRo

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

泛微 OA e-cology9 存在 sql 注入

nnn2188185的博客

04-29

1679

微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发泛微 E-Cology9 协同办公系统是一套基于 JSP 及 SQL Server 数据库的 OA 系统，包括知识文档管理、人力资源管理、客户关系管理、项目管理、财务管理、工作流程管理、数据中心等打造协同高效的企业管理环境，突破企业人、财、物、信息、流程等各种资源之间的屏障，并将集团各企业、企业各部门、各分支机构、以及企业与外部的供应商、分销商、客户及其他合作伙伴等整合在一个统一的平台上，使企业变成一个电子化的内外部协同工作的组织。

泛微OA E-Cology ResourceServlet接口存在任意文件读取漏洞附POC

nnn2188185的博客

05-23

335

微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发泛微e-cology依托全新的设计理念,全新的管理思想为中大型组织创建全新的高效协同办公环境。

参与评论您还未登录，请先登录后发表或查看评论

全网最强泛微漏洞综合利用工具

Wulai399的博客

06-20

2940

26个poc集成，检测并利用，攻防神器

泛微Ecology WebService API测试方法演示（带工具）

svsou的专栏

05-23

1883

泛微Ecology WebService接口测试演示使用简单工具测试doCreateWorkflowRequest流程创建接口是否能正常访问

泛微最近的漏洞利用工具

weixin_46211944的博客

08-03

693

WorkflowServiceXml 内存马注入、uploaderOperate文件上传漏洞、DeleteUserRequestInfoByXml 、FileDownloadForOutDocSQL注入、E-Mobile 6.0 命令执行漏洞检测。集成了QVD-2023-5012、CVE-2023-2523、CVE-2023-2648、getloginid_ofsLogin 漏洞利用。免责声明：本工具不得用于商业用途,仅做学习交流，如用作他途造成的一切后果请自行承担！泛微最近的漏洞利用工具。

泛微OA使用笔记-测试

知止不殆

09-18

3436

上篇文章中架构的流程经过同步，今天可以测试了！测试虽然比较繁琐，毕竟泛微没有提供单元测试的工具，我们只能通过人肉的方式进行测试了。闲话不多说，只把在测试过程中碰到的几个问题分享给大家，今后大家碰到类似问题的时候，可以借鉴一下。 1、由于泛微测试环境不稳定，我们发现在二维表的使用中出现了bug，即虽然设置了字段的读取，但是实际过程中发现字段丢失了，而且无法在测试环境重新配置，配置了，也会丢...

泛微OA检测工具-weaver_exp(二)，附下载链接。

白帽子黑客SuperherRo

09-22

536

泛微OA漏洞综合利用脚本weaver_exp

全网最强：泛微漏洞综合检测工具

bobo_patrick的博客

03-27

2204

全网poc最全、误报最少、漏洞利用方式最多的泛微漏洞综合检测工具

泛微OA检测工具-WeaverScan(三)

SuperherRo的博客

11-15

587

泛微oa漏洞利用工具

【漏洞复现】泛微OA E-Office do_excel.php 任意文件写入漏洞

最新发布

qq_48368964的博客

10-01

1621

泛微OAE-Ofice do exce.php 口存在任意文件写入漏洞。由于该接口未对上传文件的路径和名称进行有效校验，攻击者可以通过构造特定的请求，将任意文件写入到服务器的指定位置。攻击者利用该漏洞上传恶意文件，如 WebShel 或系统脚本，从而在服务器上执行任意命令，访问敏感数据，甚至完全接管服务器。泛微0-0fice是一款标准化的协同 OA办公软件，泛微协同办公产品系列成员之一,实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。

泛微OA高端产品e-weaver详细安装教程

"这篇文档详细介绍了泛微OA(e-weaver)系统的安装过程，特别是针对具有一定Oracle基础的技术人员。e-weaver是泛微的一款高端产品，其安装相对复杂，涉及Oracle数据库的安装与配置。文档提供了操作步骤以及必要的系统...

泛微e-cology OA Beanshell组件远程代码执行漏洞批量检测脚本

09-26

对2019年9月新爆的泛微e-cology OA Beanshell组件远程代码执行漏洞进行漏洞检测。使用方法： 1、运行url存活检测脚本e-cology_OA_rce.py批量定位泛微OA业务。 e-cology_OA_rce.py –t 1.txt 2、运行检测脚本判断是否可以拿权限。oa_check.py http://ip:port whoami

泛微E-Cology XXE漏洞复现(QVD-2023-16177)

0xSec

07-23

7685

泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。

test3

LiYunWeiUC的专栏

09-11

180

【代码】test3。

泛微 E-Office 任意文件上传漏洞 CVE-2023-2648（漏洞复现）

LHBD_R的博客

06-21

3421

漏洞介绍：泛微 E-Office 9.5版本中文件上传处理程序接口uploadify.php参数Filedata的操作导致任意文件上传，攻击者可以通过远程控制接口上传恶意文件

[知识小节]复现cnvd收录的SQl注入漏洞

网络安全知识分享

10-27

9244

SQl注入漏洞的复现出于安全文章中不出现任何关于漏洞的真实url （1）我选择的扫描器是xary，报红如下：（2）使用sqlmap开始跑跑跑思路：我们要做的就是搞到管理员的用户名和密码，因为不同公司的数据库存放的信息不同，有的数据库内容过多，跑数据的时候耗时特别长，所以当我们发现库名、表名有可能存放敏感信息的时候就要果断放弃无用的数据。步骤： a、检测是否有注入 b、跑数据库名 c、跑表名 d、跑字段 e、跑字段中的数据注：我们最后的到的用户名密码可能是经过加密的，我们可以试着用md5和base

泛微OA检测工具-WeaverExploit_All(一)

SuperherRo的博客

08-16

1321

泛微最近的漏洞利用工具（PS：2023）

泛微OA检测工具-WeaverScan(三)，附下载链接。

白帽子黑客SuperherRo

09-22

358

泛微OA检测工具-WeaverScan

【漏洞复现】泛微OA E-Cology V9 browser.jsp SQL注入漏洞复现及利用(CNVD-2023-12632)

李同學的安全圈

05-10

3415

泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微新一代移动办公平台E-Cology不仅组织提供了一体化的协同工作平台，将组织事务逐渐实现全程电子化，改变传统纸质文件，实体签章的方式，泛微OA E-Cology平台browser.jsp处存在SQL注入漏洞，攻击者通过漏洞可以获取服务器数据库权限。