上期回顾 :我们扒了APP的底裤,绕过了HTTPS证书校验。本期我们回归"传统艺能"------OA系统与通用CMS。
在内网冲锋陷阵之前,在外网拿下一个 OA 系统的权限,是红队队员和白帽子最爱的"跳板"。这叫:打点。🎯
一、 泛微 OA:Java 帝国的"漏洞百宝箱"
泛微(Weaver)可以说是 OA 界的老大哥,但也堪称历年来 SRC 奖金发放机。因为其架构庞大、历史包袱重,总能翻出一些"上古神洞"。
1. BeanShell 未授权 RCE(一键打穿的爽文)
这是泛微历史上最经典的漏洞之一。
-
漏洞原理 :泛微引入了 BeanShell(一种 Java 脚本解释器)来处理动态请求,但没有做鉴权 。攻击者可以直接向
bsh.servlet.BshServlet发送 POST 请求,在服务器端执行任意 Java 代码或系统命令。 -
SRC 实战:
你只要在 Burp 里发一个包,参数里写上
print("whoami".execute().text),服务器就会乖乖把执行结果返回给你。 -
评级 :严重 (Critical),一击致命。
2. 任意文件上传:Programmer 的"小疏忽"
泛微的上传漏洞多如牛毛,通常是因为开发人员对文件后缀的校验逻辑存在缺陷。
-
经典路径 :
/page/exportImport/uploadOperation.jsp或weaver.common.Ctrl等接口。 -
Payload 精髓:
很多时候,前端校验了
.jsp,你就改成.jspx或.jspa;如果后端校验了 MIME 类型,你把Content-Type改成image/jpeg,但文件名依然是shell.jsp。 -
SRC 实战:
一旦上传成功,直接访问
/images/logo/logo-eoffice.php或你指定的路径,Getshell 成功。
二、 致远 OA:Python 与 Java 交织的"剧本杀"
致远(Seeyon)也是 SRC 平台的常客。它的漏洞利用往往像在解谜,极具逻辑美感。
1. ajax.do反射机制滥用
-
漏洞原理 :致远提供了一个
ajax.do接口,允许前端通过managerName和managerMethod参数,利用 Java 反射机制动态调用后端的类和方法。由于没有严格限制可调用的类白名单,攻击者可以构造请求,调用任意类的任意方法。 -
SRC 实战:
你可以尝试调用文件上传相关的 Manager 类,从而绕过前端的重重校验,实现非法文件写入。
2. wpsAssistServlet路径穿越与上传
-
漏洞原理(CVE-2025-34040) :这个接口本意是为了处理 WPS 插件的上传,但由于未对
realFileType参数进行路径清洗,导致了路径穿越。 -
Payload 精髓:
realFileType=../../../../ApacheJetspeed/webapps/ROOT/test.jsp。把文件传到了根目录下,直接解析。
3. 帆软报表(FineReport)组件漏洞
很多致远的二开版本集成了帆软报表,而帆软的 ReportServer接口如果不设密码,会导致未授权访问甚至 RCE。
三、 通达 OA:老牌系统的"骨折大甩卖"
通达(Tongda)在国内中小企业中占有率极高。由于很多老版本至今仍在使用,它简直是弱口令和未授权漏洞的天堂。
1. 越权与"万能钥匙"
-
漏洞特征:通达 OA 经常爆出由于局部变量覆盖或 Session 校验不严导致的越权漏洞。
-
SRC 实战:
比如早期版本的
auth_mobi.php,只要你传参isAvatar=1&uid=1,系统就会误以为你是 UID 为 1 的管理员,直接把有效的PHPSESSID吐给你。拿着这个 Session,你就可以免密登录后台。
2. SQL 注入与敏感文件下载
-
漏洞特征 :通达的很多
.php文件在接收参数时,喜欢直接拼接 SQL。 -
SRC 实战:
找到诸如
general/hr/manage/staff_reinstatement/delete.php这样的接口,对REINSTATMENT_ID参数加上单引号,如果数据库报错,说明注入成功。配合
down.php的路径遍历漏洞,你可以直接把整个员工表(包含手机号、身份证)拖下来,厂商直接给你评个高危。
四、 通用 CMS:"黑盒盲猜"的艺术
如果遇到的是不太熟悉的 CMS,或者自研系统,怎么快速捡漏?
1. 编辑器漏洞(历史遗留的惊喜)
很多 CMS 为了省事,会集成老版本的第三方编辑器,比如 UEditor 、KindEditor 、CKEditor。
-
骚操作:
直接访问
/ueditor/index.html或/kindeditor/php/upload_json.php。这些老版本的上传接口往往没有做严格的后缀黑名单校验,上传个
.jspx或者.asa就能 Getshell。
2. 备份文件与源码泄露
这是"天上掉馅饼"的活。
-
Git 泄露 :访问
/.git/index,如果存在,用工具GitHack直接把网站源码拖下来。 -
敏感目录:
/www.zip、/backup/、/sql/。曾经有个兄弟,扫到一个
/db.sql,里面全是用户的明文密码,直接高危到手。
3. 默认口令的"蝴蝶效应"
很多 OA 系统的初始账号是 admin/123456或 system/system。
-
SRC 实战:
千万别小看弱口令。如果你用默认密码登进了一个 OA,在里面找到一个《服务器资产表》,上面写着某台内网机器的 IP 和 Root 密码......恭喜你,你打通了外网到内网的"任督二脉"。在报告里这么写,奖金翻倍。
五、 SRC 报告中的"神话"缔造
| 漏洞组合拳 | 厂商反应 | 评级 |
|---|---|---|
| 泛微 BeanShell 回显 whoami | "立刻断网修复!" | 严重 |
| 通达 OA 拖库(带身份证) | "求求你别卖了..." | 高危 |
| CMS 备份文件泄露源码 | "这是我们实习生删的..." | 中危/高危 |
报告话术:
"通过组合泛微 OA 的未授权文件上传与目录遍历漏洞,攻击者可直接在服务器上写入 Webshell,进而控制整个域网络,建议紧急修复并审计日志。"
六、 互动与思考
💬 互动话题:
各位师傅,你们在挖 OA 漏洞时,最常翻的车是什么原因?
是 Burp 突然断网 、靶机直接漂移 ,还是 终于找到上传点却发现禁用了执行权限?
来评论区抱团取暖,或者分享你的"捡漏"神技!🍻
⚠️ 法律红线警示
-
严禁利用 OA 系统的文件上传漏洞上传具有破坏性、蠕虫性质的恶意脚本(如勒索病毒、挖矿程序)。
-
严禁利用 SQL 注入漏洞进行"脱库"(Dump 全表数据),验证存在即可,最多只读取 10-20 条数据作为证明。
-
严禁利用默认口令或弱口令登录系统后,进行内网横向移动(如连接内网 RDP、SSH)。
-
测试原则:
-
点到为止:证明可以写文件即可,不要真正执行命令。
-
最小影响:不要对生产环境的 OA 系统进行大规模的目录扫描(容易把服务打挂)。
-
数据脱敏:在提交 SRC 报告时,必须将截图中的真实用户数据(姓名、电话)打码。
**OA 系统承载着企业的核心人事与财务数据,请务必克制住好奇心,不要成为破坏规则的"那只鹰"。** 🦅
-
下一期,我们将迎来终章:"自动化武器库与 AI 赋能"------ 打造你的专属漏洞挖掘机"。想知道怎么用 Python 批量扫全网吗?敬请期待!🤖