用友GRP-U8任意SQL语句执行漏洞分析

2020-10-21 14:04:4410557人阅读

1. 前言

用友GRP-U8 R10行政事业财务管理软件是用友公司专注于电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域专业的财务管理软件。近日,百度云安全团队监测到有研究人员披露了用友GRP-U8任意SQL语句执行漏洞的POC,并可利用SQL SERVER数据库特性执行系统命令,我们对漏洞进行了复现和分析,发现该漏洞危害严重,请广大用户及时进行升级修复。

2. 环境搭建

通过搜索发现用友GRP-U8存在3个版本,分别为B版、C版、G版,其中B版,C版和G版模块数量、结构不一样,B版和C版是CS结构,G版可以用浏览器登录。我们需要下载G版进行安装。

1.png

 

安装完成后需要利用自带的工具配置SQL SERVER数据库,并且设置Tomcat的端口等信息并启动。

图片15.png

安装完成后,目录结构如下,其中webserver为tomcat目录,webapps为Web目录。

 

图片16.png

3. 漏洞分析

我们根据网上披露的POC来进一步分析代码,先到webapps/WEB-INF/web.xml中到”Proxy” servlet对应的类为com.anyi.midas.MidasProxy。

图片17.png

跟进到com.anyi.midas.MidasProxy,POST请求进入doPost方法,并随后调用了Dispatcher的Process方法处理请求。

图片18.png

跟进到Dispatcher类的Process方法,37行创建了RequestInfo的对象rqi,并在45行调用了rqi对象的processRequestInfo方法来处理请求。

图片19.png

进入processRequestInfo方法,73行获取请求中ec参数,当ec为空时,加密选项为false;因此,为了方便编写POC,ec参数需要置空,97行调用XMLTools类将dp参数中的xml内容进行解析,方便后续直接获取xml内容中各个参数的值。

图片20.png

返回到Dispatcher类的Process方法继续往下看,解析xml后可通过rqi.getFunctionName()获取标签<R9FUNCTION>下NAME标签的值作为函数名,并且根据不同的函数名进入不同的条件语句,而POC中的函数名为AS_DataRequest,理所当然的跟进到63行,接下来程序调用了com.anyi.midas.access.DataModule的as_DataRequest方法。图片21.png

跟进看看as_DataRequest方法是如何定义的,其中参数providerName来自XML的PARAM标签下ProviderName标签的值,参数data则为Data标签的值,均为外部可控值。64行调用了ProviderFactory类的getProvider方法。

图片22.png

跟进到ProviderFactory类,POC中ProviderName值为DataSetProviderData,因此返回了QueryProvider类的对象;实际上,经过分析SQLProvider类也可导致任意SQL语句执行,此处ProviderName可为SQLProvider、DataSetProviderData或者置空(为空也会返回SQLProvider对象)。

图片23.png

跟进到QueryProvider类的dataRequest方法,该方法调用了DBTools类的executeSQL方法。

图片24.png

跟进executeSQL方法发现,145行调用了rqi对象中java.sql.Connection对象创建SQL连接对象stmt,sqlType默认为”query”进入147行,调用了executeQueryAction_Buffer方法。

图片25.png

跟进到executeQueryAction_Buffer方法,199行判断数据库是否为oracle,GRP-U8默认为SQL SERVER数据库,因此进入else语句后,206行通过stmt对象调用了executeQuery方法执行了可控的sql参数,并且整个过程中没有SQL语句拼接,可导致任意SQL语句执行。

图片26.png

而SQL SERVER可通过xp_cmdshell语句扩展存储过程将命令字符串作为操作系统命令shell执行,因此该漏洞危害严重,建议用户及时修复。

图片27.png 图片28.png

 

4. 安全产品解决方案

百度度御关WAF、高级威胁感知系统,以及智能安全一体化产品已支持该漏洞的检测和拦截,有需要的用户可以访问anquan.baidu.com联系我们。


参考链接:

https://nosec.org/home/detail/4561.html


本文由百度安全原创,转载请注明出处。

0
现金券
0
兑换券
立即领取
领取成功