万户ezEIP企业管理系统 /member/success.aspx 命令执行漏洞复现

pingmian/2025/4/4 9:56:05/文章来源:https://blog.csdn.net/qq_41904294/article/details/139362742

0x01 产品简介

万户ezEIP是一种企业资源规划软件，旨在帮助企业管理其各个方面的业务流程。它提供了一套集成的解决方案，涵盖了财务、供应链管理、销售和市场营销、人力资源等各个领域。

0x02 漏洞概述

万户ezEIP企业管理系统 /member/success.aspx 接口处存在命令执行漏洞，未经身份验证的远程攻击者可通过该漏洞在服务器端任意执⾏代码，写⼊后⻔，获取服务器权限，进⽽控制整个web服务器。

0x03 复现环境

FOFA：

(header="X-Powered-By: ezEIP" && (body="Powered By wanhu - www.wanhu.com.cn" || body="ezeip" || header="Set-Cookie: ASP.net_sessionid=" || body="whir.ajax.js") && header!="Set-Cookie: PbootSystem" && header!="301 Moved" && body!="css_whir.css") || (banner="X-Powered-By: ezEIP" && banner="Set-Cookie: ASP.net_sessionid=" && (banner!="Set-Cookie: PbootSystem" && banner!="301 Moved" && banner!="Server: Microsoft-IIS"))

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/pingmian/19946.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！