【漏洞复现】用友NC-Cloud-反序列化-ResourceManagerServlet

最新推荐文章于 2024-07-06 23:32:35 发布
最新推荐文章于 2024-07-06 23:32:35 发布
阅读量625 收藏
点赞数 17
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/137625064
版权

 目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

NC Cloud是用友公司推出的大型企业数字化平台。 支持公有云、混合云、专属云的灵活部署模式。NC Cloud完全基于云原生架构,技术先进、性能稳定、自主安全可控,支撑大中型以及超大型集团企业N层多site混合云部署方案,支持整个系统高可用、弹性扩展、双/多活,以及快速灾备恢复能力等。

0x02 漏洞概述

用友-NC-Cloud ResourceManagerServlet 接口存在反序列化漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。

0x03 网络测绘

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 17
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
用友 NCNC Cloud 多处反序列化RCE漏洞复现
0xSec
12-17 1477
用友 NCNC Cloud存在多处反序列化代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
黑客必备:NC综合漏洞利用工具
logic1001的博客
04-19 776
NC综合漏洞利用工具的设计旨在简化授权项目中繁琐的步骤,并解决市面上用友NC系列漏洞工具存在的问题。目前,该工具具备以下8个主要功能:支持自定义生成脏数据序列化Payload支持命令执行支持文件上传支持注入内存马支持自定义字节码注入支持目录浏览支持4种数据库解密当选择不同漏洞类型的时候,UI会自动隐藏不适合该漏洞功能显示适合的漏洞功能。支持17种漏洞检测支持DNSLog检测支持漏洞接口检测未配置DNSLog: 只进行接口检查。配置DNSLog: 则进行DNSLog(任何DNSLog。
用友NCNC Cloud MxServlet反序列化漏洞复现
0xSec
11-15 2090
用友NCNC Cloud系统存在反序列化漏洞,系统未将用户传入的序列化数据进行过滤就直接执行了反序列化操作,结合系统本身存在的反序列化利用链,可造成了命令执行,深入利用可随意操作服务器。
用友NC_ResourceManagerServlet_远程代码执行(含批量验证poc)
weixin_43567873的博客
04-17 80
用友NC_ResourceManagerServlet_远程代码执行(含批量验证poc)
NC综合漏洞利用工具
Python_0011的博客
03-16 973
NC综合漏洞利用工具的设计旨在简化授权项目中繁琐的步骤,并解决市面上用友NC系列漏洞工具存在的问题。目前,该工具具备以下8个主要功能:支持自定义生成脏数据序列化Payload支持命令执行支持文件上传支持注入内存马支持自定义字节码注入支持目录浏览支持4种数据库解密当选择不同漏洞类型的时候,UI会自动隐藏不适合该漏洞功能显示适合的漏洞功能。支持17种漏洞检测支持DNSLog检测支持漏洞接口检测未配置DNSLog: 只进行接口检查。配置DNSLog: 则进行DNSLog(任何DNSLog。
漏洞复现用友NC-Cloud ConfigResourceServlet 反序列化漏洞
qq_67810151的博客
04-16 437
用友NC 存在反序列化漏洞,未授权的攻击者可以通过该漏洞执行任意命令,从而控制服务器。
漏洞复现用友NC-Cloud-反序列化-ConfigResourceServlet
知黑而守白
04-11 153
NC Cloud用友公司推出的大型企业数字化平台。支持公有云、混合云、专属云的灵活部署模式。NC Cloud完全基于云原生架构,技术先进、性能稳定、自主安全可控,支撑大中型以及超大型集团企业N层多site混合云部署方案,支持整个系统高可用、弹性扩展、双/多活,以及快速灾备恢复能力等。用友-NC-Cloud ConfigResourceServlet 接口存在反序列化漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
Goby 漏洞发布|用友 NC registerServlet 反序列化远程代码执行漏洞
m0_46699477的博客
01-12 533
用友 NC Cloud 是一种商业级的企业资源规划云平台,为企业提供全面的管理解决方案,包括财务管理、采购管理、销售管理、人力资源管理等功能,实现企业的数字化转型和业务流程优化。用友 NC Cloud 存在反序列化代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
用友NC-UAP平台介绍
11-09
UAP平台介绍,产业背景、平台整体介绍、UAP平台介绍、平台性能与稳定性、平台产业链与典型客户
EtMi832#PeiQi-WIKI-POC#用友 NC XbrlPersistenceServlet反序列化2
07-25
用友 NC XbrlPersistenceServlet反序列化漏洞描述用友 NC XbrlPersistenceServlet反序列化漏洞漏洞影响用友NC漏洞
用友NC全产品培训课件-销售信用.ppt
03-22
用友NC全产品培训课件-销售信用.ppt
用友NC全产品培训-产品成本1.ppt
03-22
用友NC全产品培训-产品成本1.ppt
用友NC-固定资产
11-30
内部技术开发文档,很适合从事erp开发人员,用友NC-固定资产!
网络安全测评技术与标准
weixin_48579910的博客
07-06 610
网络安全测评通过多种方法和工具对系统、网络和应用程序进行全面评估,以发现和修复潜在的安全漏洞,确保其符合安全标准和政策。结合渗透测试、漏洞扫描、安全审计、风险评估、合规性测试、代码审查、社会工程测试、配置评估和基准测试等多种类型的测评,组织可以全面提升其网络安全防护能力,保护其信息资产和业务连续性。网络安全测评流程包括准备阶段、信息收集阶段、漏洞扫描阶段、渗透测试阶段、安全审计阶段、风险评估阶段、报告阶段、修复和验证阶段以及持续监控和改进阶段。
有2000元的不死高防吗
m0_70754056的博客
07-04 130
在网上搜索高防服务时,我们经常看到有死扛ddos攻击,无视cc攻击 打不死的服务器等字眼,我们必须保持清醒的头脑,因为市场上充斥着各种以低价诱人却暗藏陷阱的所谓“高防产品”。让我们擦亮眼睛,拒绝低价诱惑,为我们的网络世界构建真正坚实可靠的防护堡垒。记住,没有 2000 块的不死高防产品,只有踏实的投入和专业的服务才能保障我们的网络安全。真正有效的高防服务,需要强大的技术支持、硬件设施以及持续的维护和更新。结果在遭受严重的 DDoS 攻击时,所谓的高防形同虚设,导致业务中断,客户流失,造成了无法挽回的损失。
CTF实战:从入门到提升
hackeroink的博客
07-02 926
13章为第4篇Reverse逆向工程,主要介绍了逆向工程基本概念、计算机相关原理、逆向相关基础、常规逆向分析思路、反调试对抗技术等内容;第14~17章为第5篇PWN,主要介绍了基础环境准备、栈溢出、堆溢出等漏洞的原理与利用。本书所有案例都配有相关实践内容,能够更有效地帮助读者进一步理解相关技能。本书旨在帮助读者相对快速且完整地构建一个CTF实战所需的基础知识框架,并通过案例学习相关技能,完成从入门到提升,适合所有网络安全爱好者及从业者参考阅读,也可作为高等院校网络安全相关实践课程的参考用书。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 824
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
第一节 网络安全概述
最新发布
m0_74543941的博客
07-06 686
网络安全的概述笔记,详细了解网络安全的发展。
NC-ERP信息化管理软件-供应链部分操作说明.docx
12-06
NC-ERP信息化管理软件-供应链部分操作说明.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值