0x01 工具介绍
0x02 支持漏洞
目前支持的漏洞检测有:
- 用友 NC bsh.servlet.BshServlet 远程命令执行漏洞
- 用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞
- 用友 ERP-NC NCFindWeb 目录遍历漏洞
- 用友 GRP-U8 UploadFileData 任意文件上传漏洞
- 用友 GRP-U8 Proxy SQL注入
- 用友 U8 OA test.jsp SQL注入漏洞
- 用友 Uapjs JNDI注入漏洞
- 用友 畅捷通T-CRM get_usedspace.php SQL注入漏洞
- 用友 畅捷通T+ Upload.aspx 任意文件上传漏洞
- 用友 畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞
- 用友 ServiceDispatcherServlet 反序列化漏洞
- 用友 时空KSOA com.sksoft.bill.ImageUpload 任意文件上传漏洞
- 用友 GRP-U8 U8AppProxy 任意文件上传漏洞
- 用友 某jsp JNDI注入漏洞 一
- 用友 某jsp JNDI注入漏洞 二
- 用友 sync 反序列化漏洞
- 用友 uapws 认证绕过漏洞
- 用友 ajax JNDI注入漏洞
- 用友 文件服务器 认证绕过漏洞
- 用友 文件服务器 未授权访问漏洞
- 用友 files 反序列化漏洞
- 用友 文件服务器 反序列化漏洞
- 用友 畅捷通T+ DownloadProxy任意文件读取漏洞
- 用友 GRP U8 XXNode SQL注入漏洞 -未实现
- 用友 GRP U8 forgetPassword_old.jsp SQL注入漏洞 -未实现
- 用友 畅捷通 ajaxpro 反序列化漏洞 -未实现
- 用友 畅捷通 Controller SQL注入漏洞 -未实现
- 用友 NC FileReceiveServlet反序列化 -未实现
- 用友NCcloud accept任意文件上传 -未实现
- 用友NC MessageServlet反序列化 -未实现
- 用友NC UploadServlet反序列化 -未实现
- 用友NC MonitorServlet反序列化 -未实现
0x03 工具使用
./fupo_for_yonyou -u http展开收缩://1.1.1.1/0x04 工具获取
https://github.com/novysodope/yonyou_check/releases/tag/1.0
原文始发于微信公众号(李白你好):用友富婆系列漏洞扫描器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论