腾讯通RTX企业用户存在渗透风险！ | wooyun-2012-013290| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-013290

漏洞标题：腾讯通RTX企业用户存在渗透风险！

漏洞作者：有礼物送上

提交时间：2012-10-13 11:03

修复时间：2012-10-18 11:04

公开时间：2012-10-18 11:04

漏洞类型：敏感信息泄露

危害等级：低

自评Rank：1

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-10-13：细节已通知厂商并且等待厂商处理中
2012-10-18：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

腾讯说了没问题，意思就是说欢迎大家去搞，关我毛事。
企业用户还是比较多，哥还是负责，自己还是做一份，请管理员叫给CNCERT处理吧！

详细说明：

完整测试过程：
  首先，去官网下载一个完整安装包：
  http://rtx.tencent.com/rtx/download/index.shtml
  
  安装服务器端和客户端：
 
（默认下载是TRX2011版，是否是所有版本有影响，没完全测试，但根据部分实例测试来看，大部分版本都有此问题！）

然后，发现
http://127.0.0.1:8012/userlist.php
可以直接访问到，里面包含所有用户的用户名等信息的json（里面我添加一个存在弱口令的test帐号，以便后面的测试）：
 为什么会直接就能访问到这个userlist.php了？
  不管后面的危害如何，这些重要数据是不是不能对普通用户？

看看源代码（虽然不喜欢看代码，也没有用过php），发现是个比较2的失误：
 在RTXServer\WebRoot路径下找到userlist.php文件：

<?php 
header('Content-Type: text/html; charset=utf-8');
//require_once "IPLimit.php";
$connstr = "Driver={Microsoft access Driver (*.mdb)};DBQ=../db/rtxdb.mdb";
$conn = @new COM("ADODB.Connection") or die ("ADO连接失败!");
$conn->Open($connstr);
$rs = @new COM("ADODB.RecordSet");
$sql ="select ID,UserName from Sys_user where AccountState<>1 or AccountState is null order by ID";
$rs->Open($sql,$conn,1,3);
$rs->MoveFirst();
$result = array();  
while(!$rs->EOF)
{
  $idField = $rs->Fields(0);
  $id = $idField->value;
  $nameField = $rs->Fields(1);
  $name = $nameField->value;
  
  $name = iconv("gb2312","utf-8", $name);
  array_push($result, array('id'=>$id,'name'=>$name));
	$rs->MoveNext();
}
$rs->close(); 
//print_r($result);
echo json_encode($result);
?>

第三行代码被注释掉了：
//require_once "IPLimit.php";

那么这个IPLimit.php是干什么的了？看命名就知道了，做ip限制的：

<?php
if (PHP_VERSION>='5')
 require_once('domxml-php4-to-php5.php');
$visitorIP = $_SERVER['REMOTE_ADDR'];
$visitorIP = trim($visitorIP);
//$visitorDns = $_SERVER['REMOTE_HOST'];
define("LOCAL_IP_PREFIX", 			"127.0.0.");
define("IPLIMIT_CONFIGFILE_NAME", 	"SDKProperty.xml");
define("ELEM_SDKHTTP", 				"SDKHttp");
define("ELEM_IPLIMIT", 				"IPLimit");
define("ATTR_LIMITENABLED", 		"Enabled");
define("ELEM_IP", 					"IP");
function GetIPLimitConfigFilePath()
{
	$path = dirname(__FILE__); // webroot
	$path = dirname($path); // RTXServer
	$path .= "\\";
	$path .= IPLIMIT_CONFIGFILE_NAME;
	
	return $path;
}
function IsVisitorLimited($visitorIP)
{
	if (strpos($visitorIP, LOCAL_IP_PREFIX) !== false)
	{
		return false;
	}
	
	$iplimitConfigFilePath = GetIPLimitConfigFilePath();
	if (!file_exists($iplimitConfigFilePath))
	{
		return false;
	}
	
	$isLimitEnabled = "0";
	$arPermittedIP = array();
	GetIPLimitInfo($iplimitConfigFilePath, $isLimitEnabled, $arPermittedIP);
	
	if ($isLimitEnabled == "0")
	{
		return false;
	}
	
	if (in_array($visitorIP, $arPermittedIP, false))
	{
		return false;
	}
	
	return true;
}
function GetIPLimitInfo($iplimitConfigFilePath, &$isLimitEnabled, &$arPermittedIP)
{
	$isLimitEnabled = "0";
	
	$dom = domxml_open_file($iplimitConfigFilePath);
	if ($dom == null)
	{
		header("http/1.1 404 domxml_open_file failed!");
		exit;
	}
	
	$dom_root = $dom->document_element();
	if ($dom_root == NULL)
	{
		header("http/1.1 404 ip limit config file invalid!");
		exit;		
	}
	
	$sdkhttpNode = NULL;
	$arPropertyChildNodes = $dom_root->child_nodes();
	for ($i = 0; $i < count($arPropertyChildNodes); $i++)
	{
		if (strcasecmp($arPropertyChildNodes[$i]->node_name(), ELEM_SDKHTTP) == 0)
		{
			$sdkhttpNode = $arPropertyChildNodes[$i];
			break;
		}
	}
	
	if ($sdkhttpNode != NULL)
	{
		 $arSDKCgiChildNodes = $sdkhttpNode->child_nodes();
		 foreach ($arSDKCgiChildNodes as $sdkcgiChildNode)
		 {
		 	if (strcasecmp($sdkcgiChildNode->node_name(), ELEM_IPLIMIT) == 0)
		 	{
		 		$arAttr = $sdkcgiChildNode->attributes();
		 		for ($i = 0; $i < count($arAttr); $i++)
		 		{
		 			if (strcasecmp($arAttr[$i]->name, ATTR_LIMITENABLED) == 0)
		 			{
		 				$isLimitEnabled = $arAttr[$i]->value();
		 			}
		 		}
		 		
		 		if ($isLimitEnabled == "1")
		 		{			 	
				 	$arChildNodesIP = $sdkcgiChildNode->child_nodes();
				 	foreach ($arChildNodesIP as $childNodeIP)
				 	{
				 		if (strcasecmp($childNodeIP->node_name(), ELEM_IP) == 0)
				 		{
				 			array_push($arPermittedIP, trim($childNodeIP->get_content()));
				 		}
				 	}
				}
			 	
			 	break;
		 	}
		}
	}	
}
if (IsVisitorLimited($visitorIP))
{
	echo "IP 受限，请联系管理员开放您的 IP";
	//header("http/1.1 404 IP limited!");
	exit;
}
?>

这里就有个问题了，这与腾讯的说法就矛盾了，如果userlist.php是正常权限，为什么会有这个功能限制了？

如果是代码审计失误造成的就算了；如果是主动注释掉，怕影响用户体验，那这是个最2的功能了，那这样为什么不做管理页面里？各种看不懂！

漏洞证明：

然后使用test，在“查看审核结果”处尝试弱口令：

一般的大企业都是成百上千用户，只要一个存在弱口令，整个公司人员的信息都要暴露等：

在有用户名的情况下，在这个简单登录界面破解一个内网用户密码我想太容易了：

然后是简单配置一下客户端就成功登录了！

然后给点实际案例（除了之前发的一些，我另外又找了些）：
110.86.9.189:8012/ 
rtx.hebstd.gov.cn:8012/
rtx.szvienna.com:8012/ 
218.75.206.108:8012/ 
202.91.227.110:8012/ 
rtx2009.kanion.com:8012/ 
rtx.sinoma-ncdri.cn:8012/
211.68.208.34:8012/ 
120.209.176.9:8012/
222.90.72.34:8012/
rtx.at-express.com:8012/
218.62.80.218:8012/ 
61.156.217.52:8012/
118.112.186.35:8012/
61.175.218.170:8012/ 
rtx.pkuyy.com:8012/
rtx.jianxin.com:8012/
rtx.cometgroup.com.cn:8012/
hzng.com.cn:8012/
124.117.253.19:8012/ 
211.81.31.61:8012/
rtx.enweixi.com:8012/
221.212.46.188:8012/ 
218.56.106.149:8012/
125.43.85.116:8012/
58.128.148.10:8012/ 
www.pearlcoin.cn:8012/
202.113.48.145:8012/
218.20.201.30:8012/ 
222.89.168.62:8012/ 
rtx.caams.org.cn:8012/ 
218.29.37.196:8012/ 
219.141.70.238:8012/
cszyz.zpjy.net:8012/
www.ynxt56.com:8012/
tgzdh.tangsteel.com:92/ 
www.pssyy.cn:8012/ 
www.76tzx.com:8012/
foisongroup.com:8012/
www.hbaxle.com:8012/
58.248.49.93:8012/ 
www.nbqinyuanoa.com:8012/
www.gaokegroup.com:8012/
sales.midea.com.cn:8012/
rtxc.satrip.com:8012/
rtx.dycoal.cn:8012/
218.90.212.84:8012/
60.191.40.4:8012/
sucai.nxyc2z.com:8012/
www.kt10000.com:8012/ 
qq.huiyuan.com.cn:8012/

没有一个个测试，有些可能限制了，如：登录8000端口更换了等！

下面是成功入侵的案例（123456密码测试）：
rtx10.ougz.com.cn:8012/userlist.php
8442 123456
http://rtx.dycoal.cn:8012/userlist.php
zsx 123456
http://rtx.evoc.cn:8012/userlist.php
sz2054 123456
http://www.gaokegroup.com:8012/userlist.php
3102 123456

就以高科集团为例（在客户端填好上面的地址，默认8000端口）：

这样就能获得公司领导的联系方式了：

还可以使用你们做安全的专业术语，伪造他人与公司财务MM视频传情：

修复方案：

过程算完整了，真是影响哥周末的心情（这么明显的信息泄露，是真2吗？）！

版权声明：转载请注明来源有礼物送上@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2012-10-18 11:04

厂商回复：

漏洞评价：

2012-10-13 11:06 | xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

礼物哥周末愉快啊～
2012-10-13 11:21 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

礼物哥怒了。
2012-10-15 12:27 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

期待忽略
2012-10-18 11:23 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

围观忽略。
2012-10-19 08:03 | 大连万达集团(乌云厂商)

漏洞就是漏洞啊，不过如果部署得合理，应该还好：外网封掉8012，把userlist.php删掉。腾讯大概原来觉得这东西属于部署架构的事。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-013290

漏洞标题：腾讯通RTX企业用户存在渗透风险！

相关厂商：腾讯通RTX企业用户

漏洞作者：有礼物送上

提交时间：2012-10-13 11:03

修复时间：2012-10-18 11:04

公开时间：2012-10-18 11:04

漏洞类型：敏感信息泄露

危害等级：低

自评Rank：1

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源有礼物送上@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-013290

漏洞标题：腾讯通RTX企业用户存在渗透风险！

相关厂商：腾讯通RTX企业用户

漏洞作者： 有礼物送上

提交时间：2012-10-13 11:03

修复时间：2012-10-18 11:04

公开时间：2012-10-18 11:04

漏洞类型：敏感信息泄露

危害等级：低

自评Rank：1

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-013290"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 有礼物送上@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：有礼物送上

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源有礼物送上@乌云