VULHUB ™

### 简要描述： 泛微eteams oa系统越权修改任何新信息 ### 详细说明： 进入https://www.eteams.cn/login/demo 然后登陆一个普通用户如图所示： [<img src="https://images.seebug.org/upload/201408/151738024da4c73d04d6b2dbf9e29f75f79fdbdf.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/151738024da4c73d04d6b2dbf9e29f75f79fdbdf.png) 然后鼠标点击页面尚首 这个人 如图所示： [<img src="https://images.seebug.org/upload/201408/15173917c7da058fea9baeae9b0bb88c6c2c1885.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/15173917c7da058fea9baeae9b0bb88c6c2c1885.png) 抓包得到一个链接： https://www.eteams.cn/profile/summary/8005824116863355409.json?_=1408094249509 这时候我们记住8005824116863355409这个东西 我们修改本用户资料处: [<img src="https://images.seebug.org/upload/201408/151740035c269f288176012ef68ca30ff544bbe5.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/151740035c269f288176012ef68ca30ff544bbe5.png)...

### 简要描述： 泛微eteams oa系统越权修改任何新信息 ### 详细说明： 进入https://www.eteams.cn/login/demo 然后登陆一个普通用户如图所示： [<img src="https://images.seebug.org/upload/201408/151738024da4c73d04d6b2dbf9e29f75f79fdbdf.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/151738024da4c73d04d6b2dbf9e29f75f79fdbdf.png) 然后鼠标点击页面尚首 这个人 如图所示： [<img src="https://images.seebug.org/upload/201408/15173917c7da058fea9baeae9b0bb88c6c2c1885.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/15173917c7da058fea9baeae9b0bb88c6c2c1885.png) 抓包得到一个链接： https://www.eteams.cn/profile/summary/8005824116863355409.json?_=1408094249509 这时候我们记住8005824116863355409这个东西 我们修改本用户资料处: [<img src="https://images.seebug.org/upload/201408/151740035c269f288176012ef68ca30ff544bbe5.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/151740035c269f288176012ef68ca30ff544bbe5.png) 我们修改一下电话，然后抓包并且把里面的employee.id替换为8005824116863355409为: url:https://www.eteams.cn/base/employee/saveProperty.json postdata: employee.id=8005824116863355409&propertyName=telephone&employee.telephone=test 发送完毕后 我们到消息页面查看，那个人的信息是否被改： [<img src="https://images.seebug.org/upload/201408/15174430f612767631a2b81eadab0b0df2f641c2.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/15174430f612767631a2b81eadab0b0df2f641c2.png) ok成功改掉，其实这里不止可以改掉电话 还可以改对方的email ### 漏洞证明：