当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093002

漏洞标题:用友某系统通用型远程命令执行

相关厂商:用友软件

漏洞作者: 路人甲

提交时间:2015-01-21 12:12

修复时间:2015-04-21 12:14

公开时间:2015-04-21 12:14

漏洞类型:远程代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-21: 细节已通知厂商并且等待厂商处理中
2015-01-21: 厂商已经确认,细节仅向厂商公开
2015-01-24: 细节向第三方安全合作伙伴开放
2015-03-17: 细节向核心白帽子及相关领域专家公开
2015-03-27: 细节向普通白帽子公开
2015-04-06: 细节向实习白帽子公开
2015-04-21: 细节向公众公开

简要描述:

用友,用友,来三发。

详细说明:

#1
U8-MA移动应用(Mobile Application)是为用友U8提供基于手机和PAD的客户端移动应用,拓展和延伸ERP系统的应用时间、场所和人员,可以随时随地访问ERP系统。将单据审批操作扩展到手机上,使得审批可以随时进行,规范了企业的管理流程;将ERP系统中的关键消息及时、快捷、自动地通过手机客户端通知相关人员。
#2
然而该系统存在一个对外的移动应用管理站点,当然用友内部也在使用该移动应用做为移动审批。
其中使用了JBoss做为中间件,版本为JBoss-4.2.3.GA,然而开发人员在系统安装包中集成了invoker/JMXInvokerServlet,并且默认安装后,会对外网开放该接口。
该接口存在一处远程命令执行,可远程上传部署war包,导致getshell
#3
目前已知影响的站点有:

58.17.217.62:8080 
1.202.212.25
114.247.34.133:8080 
218.84.134.160:8080  
60.13.167.26:8080
111.205.84.151:8080 
111.75.254.143:8090
58.252.101.161 
219.141.185.114
219.141.185.102
222.189.187.21:8080 
119.255.63.19:8080
1.189.209.34:8080 
221.237.157.186 
221.230.3.230:8080
119.2.10.187
m.xhlbdc.com
1.202.248.47
58.213.23.245:8080 
123.125.28.41  
124.127.121.54:8080


#4
下面以用友内部使用站点为getshell例子:
219.141.185.102

1.jpg


上图为登录移动应用管理站点,在对该系统测试时发现,用友内部默认使用的账号为admin,密码均为111111。

2.jpg


3.jpg


接口都来了,就不客气了,getshell。
#5

5.jpg


6.jpg


7.jpg


发现该站点还跑着其他Web站点,也作为内部的数据库。
#6
内网信息

主机名:           WIN-PINENM2P32O
OS 名称:          Microsoft Windows Server 2008 R2 Enterprise 
OS 版本:          6.1.7600 暂缺 Build 7600
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:       
产品 ID:          00486-001-0001076-84542
初始安装日期:     2012/4/25, 6:59:46
系统启动时间:     2014/10/15, 15:21:52
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 8 个处理器。
                  [01]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [02]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [03]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [04]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [05]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [06]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [07]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [08]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
BIOS 版本:        Phoenix Technologies LTD 6.00, 2013/7/30
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     16,384 MB
可用的物理内存:   13,129 MB
虚拟内存: 最大值: 32,765 MB
虚拟内存: 可用:   22,258 MB
虚拟内存: 使用中: 10,507 MB
页面文件位置:     D:\pagefile.sys
域:               WORKGROUP
登录服务器:       \\WIN-PINENM2P32O
修补程序:         安装了 3 个修补程序。
                  [01]: KB2621440
                  [02]: KB2667402
                  [03]: KB958488
网卡:             安装了 1 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                        [01]: 10.10.5.229
                        [02]: fe80::201e:c638:365c:79eb

漏洞证明:

#1
U8-MA移动应用(Mobile Application)是为用友U8提供基于手机和PAD的客户端移动应用,拓展和延伸ERP系统的应用时间、场所和人员,可以随时随地访问ERP系统。将单据审批操作扩展到手机上,使得审批可以随时进行,规范了企业的管理流程;将ERP系统中的关键消息及时、快捷、自动地通过手机客户端通知相关人员。
#2
然而该系统存在一个对外的移动应用管理站点,当然用友内部也在使用该移动应用做为移动审批。
其中使用了JBoss做为中间件,版本为JBoss-4.2.3.GA,然而开发人员在系统安装包中集成了invoker/JMXInvokerServlet,并且默认安装后,会对外网开放该接口。
该接口存在一处远程命令执行,可远程上传部署war包,导致getshell
#3
目前已知影响的站点有:

58.17.217.62:8080 
1.202.212.25
114.247.34.133:8080 
218.84.134.160:8080  
60.13.167.26:8080
111.205.84.151:8080 
111.75.254.143:8090
58.252.101.161 
219.141.185.114
219.141.185.102
222.189.187.21:8080 
119.255.63.19:8080
1.189.209.34:8080 
221.237.157.186 
221.230.3.230:8080
119.2.10.187
m.xhlbdc.com
1.202.248.47
58.213.23.245:8080 
123.125.28.41  
124.127.121.54:8080


#4
下面以用友内部使用站点为getshell例子:
219.141.185.102

1.jpg


上图为登录移动应用管理站点,在对该系统测试时发现,用友内部默认使用的账号为admin,密码均为111111。

2.jpg


3.jpg


接口都来了,就不客气了,getshell。
#5

5.jpg


6.jpg


7.jpg


发现该站点还跑着其他Web站点,也作为内部的数据库。
#6
内网信息

主机名:           WIN-PINENM2P32O
OS 名称:          Microsoft Windows Server 2008 R2 Enterprise 
OS 版本:          6.1.7600 暂缺 Build 7600
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:       
产品 ID:          00486-001-0001076-84542
初始安装日期:     2012/4/25, 6:59:46
系统启动时间:     2014/10/15, 15:21:52
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 8 个处理器。
                  [01]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [02]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [03]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [04]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [05]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [06]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [07]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
                  [08]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
BIOS 版本:        Phoenix Technologies LTD 6.00, 2013/7/30
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     16,384 MB
可用的物理内存:   13,129 MB
虚拟内存: 最大值: 32,765 MB
虚拟内存: 可用:   22,258 MB
虚拟内存: 使用中: 10,507 MB
页面文件位置:     D:\pagefile.sys
域:               WORKGROUP
登录服务器:       \\WIN-PINENM2P32O
修补程序:         安装了 3 个修补程序。
                  [01]: KB2621440
                  [02]: KB2667402
                  [03]: KB958488
网卡:             安装了 1 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                        [01]: 10.10.5.229
                        [02]: fe80::201e:c638:365c:79eb

修复方案:

1.删除接口
2.限制访问

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-01-21 12:43

厂商回复:

也经提过了,不要重复提

最新状态:

暂无