各系列Yonyou漏洞检测工具
富婆系列扫描器
./fupo_for_yonyou -u http[s]://1.1.1.1/
./fupo_for_yonyou -f url.txt
SOCKS5:-socks5 socks5://0.0.0.0:1080 OR 0.0.0.0:108020230728新版本已发,详细的更新信息请自行查看releases
目前支持的漏洞检测有:
- 用友 NC bsh.servlet.BshServlet 远程命令执行漏洞
- 用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞
- 用友 ERP-NC NCFindWeb 目录遍历漏洞
- 用友 GRP-U8 UploadFileData 任意文件上传漏洞
- 用友 GRP-U8 Proxy SQL注入
- 用友 U8 OA test.jsp SQL注入漏洞
- 用友 Uapjs JNDI注入漏洞
- 用友 畅捷通T-CRM get_usedspace.php SQL注入漏洞
- 用友 畅捷通T+ Upload.aspx 任意文件上传漏洞
- 用友 畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞
- 用友 ServiceDispatcherServlet 反序列化漏洞
- 用友 时空KSOA com.sksoft.bill.ImageUpload 任意文件上传漏洞
- 用友 GRP-U8 U8AppProxy 任意文件上传漏洞
- 用友 某jsp JNDI注入漏洞 一
- 用友 某jsp JNDI注入漏洞 二
- 用友 sync 反序列化漏洞
- 用友 uapws 认证绕过漏洞
- 用友 ajax JNDI注入漏洞
- 用友 文件服务器 认证绕过漏洞
- 用友 文件服务器 未授权访问漏洞
- 用友 files 反序列化漏洞
- 用友 文件服务器 反序列化漏洞
- 用友 畅捷通T+ DownloadProxy任意文件读取漏洞
用友 GRP U8 XXNode SQL注入漏洞 -未实现用友 GRP U8 forgetPassword_old.jsp SQL注入漏洞 -未实现用友 畅捷通 ajaxpro 反序列化漏洞 -未实现用友 畅捷通 Controller SQL注入漏洞 -未实现- 用友 NC FileReceiveServlet反序列化
-未实现1.0.1已更新 - 用友 NCcloud accept任意文件上传
-未实现1.0.1已更新 - 用友 NC MessageServlet反序列化
-未实现1.0.1已更新 - 用友 NC UploadServlet反序列化
-未实现1.0.1已更新 - 用友 NC MonitorServlet反序列化
-未实现1.0.1已更新 - 用友 NC service 接口信息泄露漏洞 -1.0.1增加
- 用友 NC IUpdateService XXE漏洞漏洞 -1.0.1增加
- 用友 FE协作办公平台 templateOfTaohong_manager目录遍历漏洞 -1.0.1.2增加
注:
- POC整合自互联网,本工具仅能在取得足够合法授权的企业安全建设中使用;
- 本工具使用过程中,您应确保自己所有行为符合当地的法律法规;
- 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有贡献者不承担任何法律及连带责任;
- 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具;
- 您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。
https://x.threatbook.com/v5/article?threatInfoID=51225
