泛微ecology OA系統配置文件泄露 - ⎝⎛CodingNote.cc ⎞⎠

泛微ecology OA系統配置文件泄露

2020 年 3 月 8 日
筆記

0x00 漏洞描述

協作系統泛微e-cology OA被曝存在數據庫配置信息泄露漏洞，如攻擊者可直接訪問數據庫，則可直接獲取用戶數據，甚至可以直接控制數據庫服務器。

0x01 漏洞復現

使用payload進行驗證，直接訪問該頁面將為DES加密以後的亂碼，需要使用DES算法結合硬編碼的key進行解密。

該payload是利用Des密鑰進行密文解密，如密鑰不是1z2x3c4v5b6n，則不成功。

0x02 修復建議

https://www.weaver.com.cn/cs/package/JDK/Ecology_security_DB_20191024.zip

手握日月摘星辰，安全路上永不止步。

Previous post

【深度學習】正則化技術全面了解

Next post

漏洞講解之文件包含