用友NC-ActionHandlerServlet反序列化漏洞分析
2023-8-18 14:2:0 Author: www.freebuf.com(查看原文) 阅读量:50 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

前言

用友NC被披露过很多漏洞,其中反序列化漏洞尤为多,很多的接口都存在反序列化漏洞,网上披露的漏洞信息却很模糊,当自己把这些漏洞整合成工具时发现很多漏洞复现失败,只得回过头动手分析一探究竟。

分析

通过公开信息得知,用友NC 的ActionHandlerServlet接口存在反序列化漏洞。受影响的版本有NC6.3、NC6.5。

凭借对用友NC的历史反序列化漏洞了解,大多接口都是直接反序列化。便用同样方法测试,结果都是失败。

正好本地搭建有环境,那便直接找文件看源码。

已经知道了接口,通过接口ActionHandlerServlet找到对应的类。
如下:
image

这里有三个方法 post和get接收到请求后调用了process()

查看process()
可以看到 34行,将接收到的请求先用GZIPInputStream进行了Gzip解压缩
image

然后紧接着就进行了反序列化,造成了反序列化漏洞。

看了代码获知 该接口请求的的序列化数据需要进行gzip压缩。

复现:

触发dnslog回显
image

image

写文件
image

poc编写问题:

在编写poc,对序列化数据进行gzip压缩时,出现了问题。

通过gzip库压缩后的数据与burp编码后的结果不同
原始 序列化数据
image

用burp进行gzip解压看到的序列化数据\xff变为了\xc3\xbf
image

说明序列化数据经过gzip压缩时数据被改变了。

utf-8编码问题
经过查阅资料,找到一些信息,发现是UTF-8编码的问题:
1.字节FF和FE在UTF-8编码中永远不会出现
2.UTF-8是一种变长编码

修改编码为“ASCII”,问题解决
image

image

image


文章来源: https://www.freebuf.com/vuls/375389.html
如有侵权请联系:admin#unsafe.sh