双旦活动  2023/12/25-2024/1/1日

联合活动第二弹（SCA御盾+WebSec）：
（1）未加入星球的师傅，只需158元即可加入 SCA御盾+WebSec 星球与专属微信群，加入方式为微信公众号获取并添加任意一方星主后，付费后获得双方星球免费加入链接。
（2）已在任意一方星球的成员若有意愿加入另一方星球，只需私聊另一方星主，79元即可进入；
（3）活动结束后双方星球恢复正常收费与运营。
ps:上述方式皆不支持退款

SCA御盾星球介绍详情请访问如下链接：

SCA御盾星球介绍

WebSec星球介绍

0x01 阅读须知

SCA御盾实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

0x02 产品描述

用友U8cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型、集团型企业，提供企业级云ERP整体解决方案。它包含ERP的各项应用，包括iUAP、财务会计、iUFO cloud、供应链与质量管理、人力资源、生产制造、管理会计、资产管理，以及电商通、U会员、U订货、友云采、友报账、友空间、友人才等用友云服务。

U8cloud的重心在于为企业建立内部稳定器的管理引擎，同时通过用友云链接自有云服务实现了交易、连接、与管控的一体化商业创新引擎的激活。客户既可以选用轻量化的云服务，实现垂直领域的优先发展，云服务集成互联网资源和外部社会资源、企业进行互联网直接的交易，与商业服务的集成；企业也可以直接购买ERP服务，U8 cloud为客户一体化的提供了综合的企业核心领域的云服务。

0x03 fofa语法：

app="用友-U8-Cloud"

0x04 漏洞复现 

0x05 修复建议

官方已发布漏洞通告与漏洞补丁，请及时至以下链接下载补丁：

https://security.yonyou.com/#/noticeInfo?id=471

漏洞poc+漏洞批量扫描脚本发布在知识星球

明日预告：（1day）铭飞mcms-shiro反序列化漏洞

0x06 近期发布

0x06 星球近况

付费星球

以下活动不支持多项叠加

（1）近期活动：

双旦活动  2023/12/25-2024/1/1日：
1、联合活动第二弹（SCA御盾+WebSec）：
（1）未加入星球的师傅，只需158元即可加入 SCA御盾+WebSec 星球与专属微信群，加入方式为微信公众号获取并添加任意一方星主后，付费后获得双方星球免费加入链接。
（2）已在任意一方星球的成员若有意愿加入另一方星球，只需私聊另一方星主，79元即可进入；
（3）活动结束后双方星球恢复正常收费与运营。
ps:上述方式皆不支持退款

2、老带新活动
通过群里老人进入星球的新人，只需

4、通过私聊进入星球的，只需135元，但不支持退款

（2）星球更新：
1、星球付费成员已满150人，正式与2023/12/25日起，进入费用涨价至149元。

2、星球内即将推出积分玩法，具体加分细节查看星球获悉。每月初评选出上月积分榜前三名发放现金奖励，第一名获得150元，第二名获得100元，第三名获得50元，星主与管理员不参与评选。不得恶意刷屏刷积分，一经发现，取消其3个月的评比资格。发文每人每天不能超过3条，超过3条警告一次且不计积分，多次警告取消其3个月的评比资格。

3、元旦、春节。微信群发放200元红包一次，按固定时间区间内，筛选出最倒霉蛋子（即红包抢的最少的人）发放鼓励奖，鼓励奖元旦为200元，春节为666元，如果同时多个人抢到最低红包且数额一样，则按数量平分鼓励奖。

（3）加入说明：

1.加入收费说明：

（1）现阶段扫码加入价格为¥149元，300人后涨价至¥199元（系统支持三天退款）

（2）私聊微信加入¥135元，但不支持退款

（3）转发任意一篇SCA御盾的公众号至5个50人以上安全群，在公众号加微信后凭截图发放8折优惠券

（4）投稿最新漏洞poc或复现分析文章可免费加入1年(每星期限量5人)

2. 每逢节假日会发放一定数量优惠券

3.每天日更，工作日推送1day或0day,周末推送出货多的nday，期间不定期推送实用工具或脚本

4. 进入星球后加群可提前一天解锁第二天的发布内容

5.补天半自动化交洞脚本，计划于2024年农历新年后的第一个工作周于微信群推送，价格10-50元视服务而定