登陆 注册

致远 OA A8 无需认证 Getshell 漏洞

Lzers 2019-06-27 致远OAA8无需认证Getshell
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。

致远互联旗下致远 A8+协同管理软件,存在远程 Getshell 漏洞。作为中国协同管理软件及云服务领先厂商,致远 A8+协同管理软件在国内拥有央企、大型公司都有广大的应用。 

验证版本: 

A8+V7.0 SP3、A8+ V6.1 SP2 

(V6.1 SP1 验证尚不存在,其他版本未验证) 

触发条件:没有限制。 

上述版本存在Getshell 漏洞。系统某处在无需登录情况下可直接上传任意文件,攻击者一旦上传精心构造的后门文件即可 Getshell,获得目标服务器的权限。目前利用代码已在野外公开,官方提供的补丁程序仍然可利

用。

缓解措施:

1.通过 ACL 禁止外网对“/seeyon/htmlofficeservlet”路径的访问。 

2、官方补丁 

请尽快联系致远官方,索要官方补丁程序。

POC

生成海报
已有92条评论
  • 2019-06-28 10:06:05

    学习一下poc

  • 2019-06-28 11:01:50

    谢谢大表哥的漏洞验证脚本

  • 2019-06-28 11:36:38

    谢谢大表哥的漏洞验证脚本

  • 2019-06-28 15:38:28

    学习交流,膜拜大佬

  • 2019-06-28 15:51:45

    学习交流,膜拜大佬!!

  • 2019-06-28 16:14:31

    学习交流,膜拜大佬

  • 2019-06-28 16:16:29

    你好呀今天也是充满希望的一天呐

  • 2019-07-03 14:35:37

    谢谢大表哥的脚本

  • 2019-07-03 16:22:35

    谢谢 谢谢分享

  • 2019-07-04 23:41:47

    希望大佬的POC可以派的上用场!

  • 2019-07-26 15:59:19

    希望大佬的POC可以派的上用场!

  • 2019-07-27 13:57:19

    学习交流,膜拜大佬

  • 2019-08-05 22:03:54

    看看POC,学习一下!

  • 2020-08-05 16:18:00

    学习学习,看一下。。

  • 2020-09-12 05:08:42

    我学习学习嘛我学习学习嘛我学习学习嘛我学习学习嘛我学习学习嘛

  • 2020-09-12 21:32:09

    谢谢谢。。。。。。。。。。。。。。

  • 2020-12-16 23:32:25

    非常棒,希望可以继续分向

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.