通过代码审计用友获取CNVD高危证书

admin 2024年6月10日22:45:51评论13 views字数 3908阅读13分1秒阅读模式

文章首发奇安信攻防社区 https://forum.butian.net/share/3058

环境搭建

版本:用友NC65

链接:https://pan.baidu.com/s/10V-1Foq6MJp82JDF3NHKxg 提取码:9496

数据库:

sqlserver 2016 https://cloud.tencent.com/developer/article/1644863


操作系统:Windows2016

用友系列很多,本次选择了用友NC65是一套很老的系统了

用友源码安装

下载百度云下载的压缩包,解压压缩包,运行setup.bat文件

通过代码审计用友获取CNVD高危证书
通过代码审计用友获取CNVD高危证书

选择模块然后点击安装,建议选择全模块安装,这样功能多,漏洞也多

通过代码审计用友获取CNVD高危证书

等待安装完成

通过代码审计用友获取CNVD高危证书

安装完成后目录(一般默认安装在C:),运行startServer.bat 启动服务

通过代码审计用友获取CNVD高危证书
通过代码审计用友获取CNVD高危证书

这样用友NC本地环境就搭建后了,方便复现漏洞

debug调试配置

用友本身是有调试功能的,我们配置一下,在审计代码的断点调试

配置文件路径:C:yonyouhomebinsysConfig.bat

通过代码审计用友获取CNVD高危证书

将下面的配置填入到虚拟机参数中,一般添加在最前面就可以了

-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 

这样在运行服务时监听5005端口

通过代码审计用友获取CNVD高危证书

IDEA配置

通过代码审计用友获取CNVD高危证书

在jar中class文件下断点

通过代码审计用友获取CNVD高危证书
通过代码审计用友获取CNVD高危证书
通过代码审计用友获取CNVD高危证书

cfr批量反编译jar

用友安装后的源码都是jar的,将jar都反编译出来,这样可以很好的审计代码

工具地址:https://github.com/leibnitz27/cfr/releases/tag/0.152

@echo off color 17  if "%1" == "" (    for /f "delims=" %%i in ('dir /s /b /a-d /o-s *.jar') do (        echo 正在反编译 %%~ni...        title 正在反编译 %%i...        java -jar cfr-0.152.jar "%%i" --caseinsensitivefs true  --outputdir "%%~di%%~pi%%~ni"        echo ----%%i已经翻反编译---    )    goto :end ) else (    title 正在反编译 %1...    java -jar cfr-0.152.jar %1 --caseinsensitivefs true  --outputdir "%~d1%~p1%~n1"    echo 反编译完成.    goto :end  echo 反编译完成. @pause>nul  :end pause exit 
通过代码审计用友获取CNVD高危证书

将1.bat和cfr.jar放在一个目录,运行就批量反编译

通过代码审计用友获取CNVD高危证书

等待反编译完成,代码太多需要时间有点长

代码审计

开始分析代码前,可以去用友官网查看历史漏洞

通过代码审计用友获取CNVD高危证书

通过这些历史漏洞,可以捡漏。

  • 因为一个接口存在漏洞,其他代码中也可能有漏洞

  • 避免重复挖掘,不然提交CNVD会重复,白费功夫

主要讲我提交的两个sql注入workflowService,PaWfm2,这个系统sql注入还是很多的,只要用心都可以挖到漏洞

workflowService sql注入漏洞

漏洞代码路径:C:yonyouhomemoduleswebimplibpubwebimp_cpwfmLevel-1ncuapwfmactionWorkflowService.java

通过代码审计用友获取CNVD高危证书

WorkflowService类中,将proDefPk参数传入getWfmXmlByPk方法

跟进getWfmXmlByPk方法

通过代码审计用友获取CNVD高危证书

看到使用到了 getProDefVOByProDefPk 带入pk参数

通过代码审计用友获取CNVD高危证书

getProDefVOByProDefPk 是 接口类IWfmProDefQry定义的方法

WfmProDefQry类实现getProDefVOByProDefPk方法

通过代码审计用友获取CNVD高危证书
public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {         PtBaseDAO dao = new PtBaseDAO();         SuperVO[] superVos = null;         try {             superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");         }         catch (DAOException e) {             WfmLogger.error((String)e.getMessage(), (Throwable)e);             throw new LfwRuntimeException(e.getMessage());         }         if (superVos == null || superVos.length == 0) {             return null;         }         return (WfmProdefVO)superVos[0]; } 

getProDefVOByProDefPk该方法 直接将proDefPk 参数 传入dao.queryByCondition 查询

PtBaseDAO类中 queryByCondition 方法下断点

开启调试查看proDefP传入数据库, dao.queryByCondition 连接数据库查询

D:CodeQLdatabasesnchomemoduleswebbdlibpubwebbd_pubLevel-1.jar!ncuapcpbpersistdaoPtBaseDAO.class

通过代码审计用友获取CNVD高危证书
通过代码审计用友获取CNVD高危证书

可以看到 sql语句 查询pk_prodef字段是使用'闭合了sql,导致注入漏洞 strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'

通过代码审计用友获取CNVD高危证书

注:提交sql注入给CNVD 需要跑出数据库名称等,不然会被打回。

PaWfm2 sql注入漏洞

PaWfm2 注入的原理和 workflowService都是使用了 getProDefVOByProDefPk导致sql注入漏洞

通过代码审计用友获取CNVD高危证书

在代码的54行中,使用了getProDefVOByProDefPk 方法来查询,该方法实现类为WfmProdefVO

WfmProdefVO proDefVo = WfmServiceFacility.getProDefQry().getProDefVOByProDefPk(proDefPk);

跟踪WfmProdefVO类实现的getProDefVOByProDefPk方法

通过代码审计用友获取CNVD高危证书

getProDefVOByProDefPk 方法 代码

    public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {         PtBaseDAO dao = new PtBaseDAO();         SuperVO[] superVos = null;         try {             superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");         }         catch (DAOException e) {             WfmLogger.error((String)e.getMessage(), (Throwable)e);             throw new LfwRuntimeException(e.getMessage());         }         if (superVos == null || superVos.length == 0) {             return null;         }         return (WfmProdefVO)superVos[0]; } 

getProDefVOByProDefPk该方法 直接将proDefPk 参数 传入dao.queryByCondition 查询

PtBaseDAO类中 queryByCondition 方法下断点

开启调试查看proDefP传入数据库, dao.queryByCondition 连接数据库查询 D:CodeQLdatabasesnchomemoduleswebbdlibpubwebbd_pubLevel-1.jar!ncuapcpbpersistdaoPtBaseDAO.class 通过代码审计用友获取CNVD高危证书
通过代码审计用友获取CNVD高危证书

可以看到 sql语句 查询pk_prodef字段是使用'闭合了sql,导致注入漏洞 strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'

通过代码审计用友获取CNVD高危证书

提交了三个漏洞,重复了一个,两个高危

通过代码审计用友获取CNVD高危证书
通过代码审计用友获取CNVD高危证书

总结

  • 漏洞本身没有多少技术含量,但是总归收获了用友的高危漏洞证书。


原文始发于微信公众号(安全逐梦人):通过代码审计用友获取CNVD高危证书

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月10日22:45:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过代码审计用友获取CNVD高危证书https://cn-sec.com/archives/2835680.html

发表评论

匿名网友 填写信息