泛微ecology OA系统某接口存在数据库配置信息泄露漏洞

2漏洞详情

攻击者可通过该漏洞页面直接获取到数据库配置信息，攻击者可通过访问存在漏洞的页面并解密从而获取数据库配置信息，如攻击者可直接访问数据库，则可直接获取用户数据，由于泛微e-cology默认数据库大多为MSSQL数据库,结合XPCMDSHELL将可直接控制数据库服务器.

2影响范围

目前已知为8.100.0531,不排除其他版本，包括不限于EC7.0、EC8.0、EC9.0版

3|0漏洞复现

 对这个漏洞要注意两点就是 ，获取密钥。默认密钥1z2x3c4v5b6n。使用密钥解密DES密文！这里使用python脚本自动完成这一步 脚本如下