用友 NC 6.5反序列化漏洞复现与分析教学文档<\/h1>

一、前言<\/h2>
用友NC 6.5存在反序列化漏洞，攻击者可通过构造恶意序列化数据实现远程代码执行。本文将从环境搭建、漏洞分析和漏洞复现三个部分进行详细讲解。<\/p>

二、环境搭建<\/h2>

1. 安装准备<\/h3>

下载用友NC 6.5安装包<\/li>

确保安装盘同级目录下有ufjdk文件或已设置JAVA_HOME环境变量<\/li> <\/ul>

2. 安装步骤<\/h3>

执行NC安装包根目录下setup.bat文件<\/li>

选择安装的产品模块（部分关键模块）：

nc_uap：客户化<\/li>
nc_portal：企业门户<\/li>
nc_fi：财务会计<\/li>
nc_hr：人力资源<\/li>

nc_iufo：网络报表含合并报表<\/li> <\/ul> <\/li> <\/ol>

3. 数据库配置<\/h3>

创建Oracle用户：<\/p>

SQL<\/span>><\/span> create<\/span> user<\/span> NCV6.5<\/span> identified by<\/span> 1<\/span> default<\/span> tablespace nnc_data01 temporary<\/span> tablespace temp;
<\/span><\/span>SQL<\/span>><\/span> grant<\/span> dba,connect<\/span> to<\/span> NCV6.5<\/span>;
<\/span><\/span><\/code><\/pre>4. 系统配置<\/h3>


服务器类型选择UAP SERVER<\/p>
<\/li>

配置数据源：<\/p>

数据库类型选择ORACLE11G<\/li>
添加数据源名称（不能包含中文）<\/li>
配置数据库地址、用户名密码等信息<\/li>
测试连接确保连通性<\/li>
<\/ul>
<\/li>

部署EJB：<\/p>

进入"部署"→"全选"→"部署EJB"<\/li>
<\/ul>
<\/li>

文件服务器配置：<\/p>

添加服务器IP地址、端口、存储路径<\/li>
选择元数据仓库<\/li>
<\/ul>
<\/li>
<\/ol>
5. 客户端准备<\/h3>

安装专用浏览器UClient<\/li>
客户端通信代码位于nc_client_home\NCCACHE\CODE\external<\/code>目录中的jar包<\/li>
<\/ul>
三、漏洞分析<\/h2>
1. 漏洞位置<\/h3>
漏洞存在于客户端与服务端的通信过程中，涉及反序列化操作。<\/p>
2. 关键调用链<\/h3>

登录流程入口：nc.login.ui.LoginUISuppor.getLoginRequest()<\/code><\/li>
获取NCLocator实例：nc.bs.framework.common.NCLocator.getInstance()<\/code><\/li>
创建RmiNCLocator实例（当svcDispatchURL不为空时）<\/li>
调用lookup方法：nc.bs.framework.rmi.RemoteContextStub.lookup()<\/code><\/li>
最终通过代理调用RemoteInvocationHandler.invoke()<\/code><\/li>
<\/ol>
3. 漏洞触发点<\/h3>
关键代码在nc.bs.framework.rmi.RemoteInvocationHandler.sendRequest()<\/code>方法中：<\/p>
public<\/span> Object sendRequest<\/span>(<\/span>Method method,<\/span> Object[]<\/span> args)<\/span> throws<\/span> Throwable {<\/span>
<\/span><\/span>    InvocationInfo ii =<\/span> this<\/span>.<\/span>newInvocationInfo<\/span>(<\/span>method,<\/span> args);<\/span>
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>    Object var8 =<\/span> this<\/span>.<\/span>sendRequest<\/span>(<\/span>target,<\/span> ii,<\/span> method,<\/span> args);<\/span>
<\/span><\/span>    return<\/span> var8;<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>该方法将InvocationInfo对象序列化后发送到服务端，服务端会反序列化该对象，从而可能触发反序列化漏洞。<\/p>
4. 通信机制<\/h3>

客户端使用HTTP协议与服务端通信<\/li>
服务端地址格式：http:\/\/ip:port\/ServiceDispatcherServlet<\/code><\/li>
通信数据使用Java序列化格式<\/li>
<\/ul>
四、漏洞复现<\/h2>
1. 准备工作<\/h3>

搭建好用友NC 6.5环境<\/li>
准备恶意序列化payload<\/li>
网络可达目标服务器<\/li>
<\/ul>
2. 复现步骤<\/h3>

构造恶意序列化数据，包含可执行命令的payload<\/li>
通过UClient发送恶意请求到ServiceDispatcherServlet<\/li>
观察服务器响应和执行结果<\/li>
<\/ol>
3. 注意事项<\/h3>

需要绕过可能的签名验证<\/li>
注意Java版本兼容性<\/li>
不同模块可能有不同的反序列化gadget链<\/li>
<\/ul>
五、修复建议<\/h2>

升级到最新版本<\/li>
限制反序列化类白名单<\/li>
对通信数据进行签名验证<\/li>
使用安全管理器限制危险操作<\/li>
<\/ol>
六、参考资源<\/h2>

用友NC反序列化漏洞分析<\/a><\/li>
Java反序列化漏洞原理<\/a><\/li>
<\/ol>
七、常见问题<\/h2>


Q：找不到安装包怎么办？<\/strong>

A：可以尝试联系用友官方或通过其他合法渠道获取<\/p>
<\/li>

Q：环境搭建失败可能原因？<\/strong>

A：检查JDK环境、数据库连接、防火墙设置等<\/p>
<\/li>

Q：漏洞复现不成功怎么办？<\/strong>

A：检查payload构造是否正确、网络是否通畅、服务是否正常运行<\/p>
<\/li>
<\/ol>
本教学文档详细介绍了用友NC 6.5反序列化漏洞的环境搭建、分析和复现过程，重点突出了关键代码和配置点，可作为安全研究和漏洞修复的参考。<\/p>

用友 NC 6.5反序列化漏洞复现与分析教学文档<\/h1>

一、前言<\/h2> 用友NC 6.5存在反序列化漏洞，攻击者可通过构造恶意序列化数据实现远程代码执行。本文将从环境搭建、漏洞分析和漏洞复现三个部分进行详细讲解。<\/p>

二、环境搭建<\/h2>

三、漏洞分析<\/h2>

1. 漏洞位置<\/h3> 漏洞存在于客户端与服务端的通信过程中，涉及反序列化操作。<\/p>

四、漏洞复现<\/h2>

一、前言<\/h2>
用友NC 6.5存在反序列化漏洞，攻击者可通过构造恶意序列化数据实现远程代码执行。本文将从环境搭建、漏洞分析和漏洞复现三个部分进行详细讲解。<\/p>

1. 漏洞位置<\/h3>
漏洞存在于客户端与服务端的通信过程中，涉及反序列化操作。<\/p>