oa-system-attack

$npx mdskill add wgpsec/AboutSecurity/oa-system-attack

Exploit vulnerabilities in domestic OA systems for lateral movement.

  • Bypass security controls in Seeyon, Weaver, and other Chinese OA platforms.
  • Access default credentials and remote code execution paths.
  • Identify system types using web fingerprinting and path detection.
  • Execute exploits to gain unauthorized access to internal networks.

SKILL.md

.github/skills/oa-system-attackView on GitHub ↗
---
name: oa-system-attack
description: "国产 OA/内网系统漏洞利用。当在内网发现致远(Seeyon)、泛微(Weaver/E-cology)、用友(Yonyou/NC/U8)、蓝凌(Landray)、通达(Tongda)、万户(Ezoffice)、金蝶(Kingdee)、红帆(iOffice) 等国产 OA 系统时使用。覆盖各系统的典型漏洞、默认口令、RCE 路径。国内 HW/比赛内网中高频出现,一定要使用此技能"
metadata:
  tags: "oa,seeyon,致远,泛微,weaver,ecology,用友,yonyou,nc,蓝凌,landray,通达,tongda,万户,金蝶,内网,国产系统,办公系统"
  category: "lateral"
---

# 国产 OA/内网系统漏洞利用

国内比赛内网环境几乎必有 OA 系统——它们历史漏洞多、补丁率低、权限通常较高。

## ⛔ 深入参考(必读)

- 致远/泛微/用友详细漏洞利用 → [references/oa-exploits.md](references/oa-exploits.md)
- 通达/蓝凌/其他系统漏洞利用 → [references/oa-exploits-more.md](references/oa-exploits-more.md)

---

## Phase 1: OA 系统识别

```bash
# Web 指纹识别
whatweb http://TARGET
curl -sI http://TARGET | grep -i "Server"
curl -s http://TARGET | grep -iE "seeyon|致远|weaver|ecology|泛微|yonyou|用友|tongda|通达|landray|蓝凌|ezoffice|万户"

# 常见路径指纹
curl -s http://TARGET/seeyon/           # 致远 OA
curl -s http://TARGET/weaver/           # 泛微 E-cology
curl -s http://TARGET/mobile/           # 泛微 E-mobile
curl -s http://TARGET/ispirit/          # 通达 OA
curl -s http://TARGET/sys/             # 蓝凌 OA
curl -s http://TARGET/portal/          # 用友 NC
```

## Phase 2: 系统 → 漏洞速查

### 致远 OA (Seeyon) — 漏洞最多

| 漏洞 | 路径 | 类型 |
|------|------|------|
| Session 泄露 | /seeyon/thirdpartyController.do | 任意用户登录 |
| 文件上传 | /seeyon/htmlofficeservlet | RCE |
| 反序列化 | /seeyon/autoinstall.do.css | RCE |
| SSRF | /seeyon/ajax.do | SSRF |
| SQL 注入 | /seeyon/webmail.do | SQLi |

### 泛微 OA (Weaver/E-cology) — 出现频率最高

| 漏洞 | 路径 | 类型 |
|------|------|------|
| SQL 注入 | /mobile/browser/WorkflowCenterTreeData.jsp | SQLi |
| 文件上传 | /weaver/bsh.servlet.BshServlet | RCE |
| SSRF | /ssrf/proxy | SSRF |
| 数据库配置读取 | /mobile/DBconfigReader.jsp | 信息泄露 |
| 命令执行 | /api/integration/workflowToDoc | RCE |

### 用友 NC (Yonyou) — 权限通常高

| 漏洞 | 路径 | 类型 |
|------|------|------|
| 反序列化 | /servlet/~ic/bsh.servlet.BshServlet | RCE |
| 文件上传 | /servlet/FileReceiveServlet | 任意文件上传 |
| 目录遍历 | /NCFindWeb | 信息泄露 |
| SSRF | /servlet/~uap/nc.itf.iufo.FunctionServlet | SSRF |

### 通达 OA — 入门级目标

| 漏洞 | 路径 | 类型 |
|------|------|------|
| 文件上传+包含 | /ispirit/im/upload.php + /ispirit/interface/gateway.php | RCE |
| 任意用户登录 | /logincheck_code.php | 认证绕过 |
| SQL 注入 | /general/approve_center/archive/getTableInfo.php | SQLi |

### 蓝凌 OA (Landray) — SSRF 到 RCE

| 漏洞 | 路径 | 类型 |
|------|------|------|
| SSRF → RCE | /sys/ui/extend/varkind/custom.jsp | RCE |
| 任意文件读取 | /sys/ui/extend/varkind/custom.jsp | 文件读取 |
| 反序列化 | /sys/search/sys_search_main/sysSearchMain.do | RCE |

→ 详细 payload → references

## Phase 3: 通用攻击策略

```
发现 OA 系统后:
1. 确认系统类型和版本
2. 尝试默认口令
3. 查已知 CVE / Nday
4. nuclei 扫描: nuclei -u TARGET -tags oa,seeyon,weaver,tongda
5. 手动验证高危漏洞(RCE > 文件上传 > SQLi > 信息泄露)
6. 获取 shell 后收集内网凭据
```

### 默认口令速查
| 系统 | 用户名 | 默认密码 |
|------|--------|---------|
| 致远 OA | system | system |
| 致远 OA | admin | seeyon123456 |
| 泛微 OA | sysadmin | 1 |
| 用友 NC | admin | admin |
| 通达 OA | admin | admin00 |
| 蓝凌 OA | admin | admin |

More from wgpsec/AboutSecurity

SkillDescription
401-403-bypass401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuseActive Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attackKerberos 委派攻击(非约束/约束/RBCD)。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户,常用于域内权限提升和横向移动。
ad-domain-attackActive Directory 域环境攻击全链路。当目标主机在域环境中(systeminfo 显示 Domain 非 WORKGROUP)、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistenceAD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化(计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹)、域级持久化(Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder)、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权(Golden Ticket + ExtraSid)、跨林攻击(SID History/MSSQL Trust Links)、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attackActive Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具,一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security|
ai-data-security|