用友GRP-U8 ufgovbank.class XXE漏洞复现

已于 2024-01-06 21:16:29 修改
阅读量1k 收藏 12
点赞数 11
分类专栏: 漏洞复现v1 文章标签: 安全 web安全
于 2024-01-06 20:12:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/135431294
版权
本文详细介绍了用友GRP-U8R10软件中ufgovbank.class存在的XML实体注入(XXE)漏洞,该漏洞可能导致服务器敏感数据泄露和SSRF攻击。影响范围包括在售的U8Manager B、C、G三个产品系列。作者提供了复现环境和PoC,并给出了打补丁的修复建议,补丁链接附在文末。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 产品简介

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。

0x02 漏洞概述

用友GRP-U8R10 ufgovbank.class 存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。

0x03 影响范围 

用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列,以上受到本次通报漏洞的影响。

0x04 复现环境

FOFA:app="用友-GRP-U8"

0x05 漏洞复现

PoC

POST /ufgovbank HTTP/1.1
Host: your-ip
User-Agent: Mozilla
了解本专栏 订阅专栏 解锁全文 超级会员免费看
如何使用KeilV5直接hex文件
weixin_42499230的博客
08-09 5586
使用keilV5直接hex文件
51单片机usb录电路_51单片机怎么用usb程序
weixin_36121078的博客
12-31 5085
单片机怎样用usb程序首先,需要安装keil软件和STC_ISP程序下载软件。先对你想要实现对单片机的功能用keil编程,然后用STC_ISP下载软件下载到单片机上,最后打开给单片机提供电源就可以观察单片机开发板或是自己搭建的板子上的现象了。通过不断修改程序,下载程序,最终获得自己在实验板上想要的结果。这样就可以了。实验板与PC机的连接:一般对现成购买的开发板来说,会有一个USB接口提供5v电...
关于keil编译生成elf文件
WSunsky
10-22 8510
问题:最近要使用protues去仿真stm32,由于keil使用的编译器是keil for arm 因此不能生成elf文件。 方案一:更改keil5的编译器。 百度keil5 gcc for arm就会找找到一些关于keil5更给编译器的文章。 缺点也很明显,譬如不能使用 go to的功能,代码优化都会受到一些影响。 ...
《程序员的自我修养》读书笔记——使用KEIL研究ELF文件
booksyhay的专栏
09-11 2806
工具 KEIL-MDKV5 安装目录下(C:\Keil_v5\ARM\ARMCC\bin)有以下工具: 主要用到的是fromelf.exe 把该路径加入到PATH环境变量中: fromelf用法 命令格式: fromelf [options] input_file fromelf -h即可打印出帮助信息。 Product: MDK Plus 5.29 Component: ARM Compiler 5.06 update 6 (build 750) To...
keil生成二进制文件
最新发布
qq_57028721的博客
03-28 282
在 魔术棒-->user->after build-->Run#1 添加 D:\software\keil\ARM\ARMCLANG\bin\fromelf.exe --bin --output=.\@L\@L.bin!D:\software\keil\ARM\ARMCLANG\bin\fromelf.exe 运行fromelf.exe。L,输出文件@L.bin。@L.bin 生成文件名,与项目名同名的.bin文件。--output=.\@L\@L.bin 生成路径与文件名。.\ 当前路径。
KEIL下载HEX文件更新STM32程序说明(附工程DEMO)
04-19
KEIL下载HEX文件(不需要源码),避免源码泄漏。更新STM32程序图文详细说明(附工程DEMO)。
keil直接录目标hex文件
Ontides的博客
03-18 2369
hex
Keil中创建工程并hex文件
__52Hz__
08-07 7008
一、创建工程 Project  -->   New uVision Project   -->  选择保存路径  -->  名称  -->  选择核心板型号(stm32f429bit6) --> OK    二、添加文件 选择group右键  -->  Add Files to Group .....    -->  .....   --> ...
给单片机焼程序需要什么东西_单片机怎么程序
weixin_39748858的博客
12-19 5245
1.单片机怎么程序STC系列单片机为例:首先,需要安装keil软件和STC_ISP程序下载软件.先对你想要实现对单片机的功能用keil编程,然后用STC_ISP下载软件下载到单片机上,最后打开给单片机提供电源就可以观察单片机开发板或是自己搭建的板子上的现象了。通过不断修改程序,下载程序,最终获得自己在实验板上想要的结果.这样就可以了。实验板与PC机的连接:一般对现成购买的开发板来说,会有一个U...
51单片机usb录电路_51单片机怎么用usb程序 - 全文
weixin_39765280的博客
12-22 2840
单片机怎样用usb程序首先,需要安装keil软件和STC_ISP程序下载软件。先对你想要实现对单片机的功能用keil编程,然后用STC_ISP下载软件下载到单片机上,最后打开给单片机提供电源就可以观察单片机开发板或是自己搭建的板子上的现象了。通过不断修改程序,下载程序,最终获得自己在实验板上想要的结果。这样就可以了。实验板与PC机的连接:一般对现成购买的开发板来说,会有一个USB接口提供5v电...
stm32f103c8t6最小系统板怎么升序
02-11
3. 打开所使用的集成开发环境(IDE),加载项目工程并构建得到`.hex`或`.bin`格式的目标二进制映像文件; 4. 启动配套提供的Flash Loader Demonstration软件或者其他第三方flasher应用程序,设置好通信参数后点击...
宏晶STC单片机使用STC-ISP串口录失败的解决方法及实例汇总 (Ver0.99.16)
autopccopy的专栏
04-28 2万+
宏晶STC单片机使用STC-ISP串口录失败的解决方法及实例汇总 (Ver0.99.16) 但是大量的实际编程下载时可能遇到各种各样下载失败的问题,影响了用户体验,现整理原因和解决方法如下:
CS32L010 用Keil + Jlink(或其它)录已有的hex文件
Ning的博客
12-22 1312
设置Download Function,按照图选择,之后删掉Programming Algorithm里面的内容,重新选择对应的选项。打开KEIL,Project-New μVision Project,命名并保存到某个文件夹,比如我命名为burn-wipi。Name of Excutable设置的名称和已有的Hex文件名称相同。设置Debug方式,我这里选择JLINK,之后选择Settings。打开Options for Target。设置Port方式,我这里选择SW。
keil将c语言转换成hex文件格式,如何用keilhex文件格式
weixin_39961855的博客
05-21 1万+
描述如何将现成hex文件keil开发单片机的第一步就是用Keil软件编汇编程序,并形成最终的“*.hex”目标文件,然后用编程器将该文件到单片机中就行了,最后将好的单片机插到电路板上,一接通电源就可以工作了。1、将hex文件转成elf文件,方法要自行先搜索一下。2、新建一个工程,选这好CPU,不要添加启动代码。3、把生成hex文件elf文件复制到新工程的目录下。4、在工程的o...
怎样用Keil5现成hex文件
lanwert的博客
06-20 3万+
第一步:打开keil5,创建一个新工程 创建工程尽量使工程名与hex文件的名字一致;创建工程时会让你选一个芯片型号,选自己用的板子就行了,选过之后keil5会自动弹出来一个补全代码的功能,这时我们要忽略它。步骤如下: 第二步:配置魔术棒 接下来就可以点击下载 然后就慢慢的享受hex文件被下载进板子的快感。 ...
利用KEIL生成hex文件
热门推荐
ZJE
02-23 14万+
0.C51单片机运行的文件 1.建立工程 2.创建文件并把文件加入工程中 3.生成hex文件 0.C51单片机运行的文件 直接进C51芯片的文件HEX文件,所以要通过KEIL把源代码编译成HEX文件 1.建立工程 打开KEIL后,点解project(项目)中的New uVision Project: 然后填项目的名字并选择保存的地方: 再选
自学嵌入式第二周之如何生成录到单片机内所必须的(.hex文件
FMgxth的博客
12-01 2961
自学嵌入式第二周之如何生成录到单片机内所必须的(.hex文件Keil软件是一款辅助单片机编程序,编译及运行程序,并产生单片机下载所必须的(.hex文件,用于入单片机内部的程序。
keil输出hex文件
a791404623的博客
08-05 6091
在单片机开发中,很多开发都是HEX文件的,所以在keil中,设置生成hex文件是必不可少的技能因为刚开始接触keil,以前都是用IAR进行开发,所以不知道这一点只需要在project-options for target里面设置output里 Create HEX file 勾选上就好了,这个设置在工具栏里有快捷方式,看图标可以分辨
keil5hex
03-15
### 如何使用 Keil5 Hex 文件 对于仅拥有已编译好的 hex 文件而无源文件的情况,在 Keil V5 平台上直接hex 文件至单片机(如华大单片机)需采取特定的方法,因为直接调用该平台进行此类操作不可行[^1]。 #### 设置 Output 路径 进入 Keil 的 output 设置界面,指定要录的 hex 文件的具体位置。确保在路径输入框中填完整的 hex 文件名称并附带 `.hex` 扩展名;缺少此扩展名可能导致系统继续尝试录先前编译的结果而非所选的 hex 文件[^3]。 #### 配置 Flash 工具选项 针对不同类型的微控制器(MCU),可能还需调整 flash 下载工具的相关配置参数以匹配目标设备的要求。这一步骤通常涉及选择合适的编程算法以及设定通信接口等细节[^2]。 #### 启动下载过程 完成上述准备工作之后,可以通过点击调试窗口内的 “Download” 或者快捷菜单里的相应命令来启动实际的程序入流程。如果一切顺利的话,软件会自动连接硬件并将选定的 hex 数据传输到 MCU 中存储起来[^4]。 ```python # Python 示例代码用于说明自动化脚本概念 (并非真实实现) def download_hex_to_mcu(hex_file_path, mcu_type): """ 自定义函数模拟将 HEX 文件下载到指定型号的 MCU 上 参数: hex_file_path -- 完整路径字符串指向待上传的 .hex 文件 mcu_type -- 字符串表示的目标单片机类型标识符 返回值: 成功则返回 True ,失败抛出异常信息 """ try: configure_output_settings(hex_file_path) # 设定输出设置 select_flash_tool(mcu_type) # 挑选适合的闪存工具 execute_download_command() # 发送下载指令 return True # 表明成功结束 except Exception as e: raise RuntimeError(f"Failed to upload {hex_file_path}: {e}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值