帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

admin

2026年1月1日 10:40 本文热度 693

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息、工具等造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

工具概述

本次I-Wanna-Get-All版本为发布最终版，漏洞数量470

1.新增

List,JavaMSGenerator,Ysoserial,JeecgReportDatabase模块。

2.优化漏洞检测方式,用友部分serial反序列化采用DNSLog与CmdEcho方式回显检测。

3.内置调用Dnslog平台接口并进行初始化。

dnslog地址http://www.dnslog.cn。若初始化失败以及未获取dnslog地址请检查网络情况，dns建议配置223.5.5.5。

4.优化HTTP请求配置，如若使用Jeecg后台漏洞，需指定token头。

更新亮点

可通过初始化或手动获取dnslog,测试查看结果。XXE,JNDI,Serial反序列化漏洞均使用dnslog与echo方式进行检测。

目前调试不完善，但可以使用，IP地址数量限制最多10个。

可以导出报告

新增geoserver内存马注入功能，注入接口/wfs，2种方式

新增“智联云采”内存马注入功能，注入接口/adpweb/verifyToken

集成ysuserial-all的相关功能

新增gadget - SpringBypassJDK17

额外添加若依interceptor内存马

classloader通用内存马

thymeleaf表达式绕过

拥有在线报表访问权限的任意用户，可绕过jeecg内置黑名单，实现数据库接管。

采用utf-16、Bas64编码最简化windows反弹shell命令，解决多参困境。

阅读原文：原文链接

该文章在 2026/1/4 10:45:41 编辑过

关键字查询

正在查询...