最近某网行动,事故频发,吓的小编都不敢发公众号了
又出来了一个致远OA系统的远程代码执行漏洞
我的天啊
这是一款基于互联网的高效协同工作平台的协同管理软件,在各企业机构中被广泛使用
大佬们太可怕了
存在任意文件写入漏洞
远程攻击者在无需登录的情况下可通过向 URL /seeyon/htmlofficeservlet POST 精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器。
验证漏洞的方式很简单
访问
http://ip/seeyon/htmlofficeservlet
如果出现
DBSTEP V3.0 0 21 0 htmoffice operate err
则存在漏洞
主要影响了以下版本
致远A8-V5协同管理软件V6.1sp1
致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3
致远A8+协同管理软件V7.1
对路径 /seeyon/htmlofficeservlet 进行限制访问
修改
Seeyon/A8/ApacheJetspeed/webapps/seeyon/WEB-INF/web.xml
注释如下内容
<servlet-mapping>
<servlet-name>htmlofficeservlet</servlet-name>
<url-pattern>/htmlofficeservlet </url-pattern>
</servlet-mapping>
http://www.seeyon.com/Info/constant.html
通过信息搜集的方式,在fofa的资产搜索引擎中输入seeyon就能找到很多这样的系统例如
如图
本地搭建好环境,测试了一下:
效果如图
因为比较敏感,POC的详细内容还是不要放出来了,留给星球内部的师傅玩玩