蓝凌OA系统特征及漏洞探测利用

Web特征

默认icon图标:image-20251127223043300image-20251127223112152image-20251128205534892

fofa:app="Landray-OA系统"title="智慧协同平台"icon_hash="831854882"

访问后默认是login登录界面:

image-20251127223308733

web网页目录结构特征:

image-20251127223438465

默认页面存在一些特征:

  • title:登录系统
  • 版权信息:蓝凌软件 版权所有

Web特征URL路径:

路径分类 路径特征
基础框架路径 /data/开头:系统核心数据交互路径
/api/开头:系统 API 接口,用于数据交换
.do结尾:典型的 Struts 框架请求路径(蓝凌 EKP 主要采用)例如:/sysSearchMain.doWechatLoginHelper.dosysUiComponent.do
后台管理入口 http://[域名]/adminhttp://oa.[域名]/sysadmin /sys/webservice/
Web 服务接口,如kmReviewWebserviceService
敏感配置文件路径 /WEB-INF/KmssConfig/admin.properties(核心配置文件,含系统密钥和账号信息)
/.well-known/(部分版本存放认证相关配置)
漏洞易发路径 /sys/ui/extend/varkind/custom.jsp(文件读取 / 代码执行)
/sys/ui/sys_ui_component/sysUiComponent.do(文件上传)

默认账户:admin/1、luor/26012345、admin/admin、admin/tepu

漏洞探测工具

image-20251127160948464 image-20251127143243249 image-20251127143245789
posted @ 2025-12-02 12:37  shinianyunyan  阅读(34)  评论(0)    收藏  举报