漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-083238
漏洞标题:用友NC-IUFO报表系统部分安全问题(影响多个大客户)
相关厂商:用友软件
漏洞作者: 路人甲
提交时间:2014-11-19 16:37
修复时间:2015-01-03 16:38
公开时间:2015-01-03 16:38
漏洞类型:敏感信息泄露
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-19: 细节已通知厂商并且等待厂商处理中
2014-11-19: 厂商已经确认,细节仅向厂商公开
2014-11-29: 细节向核心白帽子及相关领域专家公开
2014-12-09: 细节向普通白帽子公开
2014-12-19: 细节向实习白帽子公开
2015-01-03: 细节向公众公开
简要描述:
用友NC-IUFO报表系统存在用户信息泄漏,存在暴力破解的风险,另登录的验证码形同虚设,弱口令,登录之后利用系统功能获取webshell;
详细说明:
我们这里以wooyun厂商的忽略大王,中粮集团的报表平台为例;
link:
http://iufo.cofco.com/service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.login.LoginAction
1. 用户信息泄漏
link:
http://iufo.cofco.com/service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.release.InfoReleaseAction&method=createBBSRelease&TreeSelectedID=&TableSelectedID=
用户名 登录名;
(其实该页面附加上传是可以上传jsp脚本木马的,但是由于没有登录,看不到脚本的访问链接,所以我们需要一个能够的登录的用户)
2. 暴力破解
查看以上页面的源码,提取登录的用户名;整理成用户字典;
验证码的问题
在登录过程加上验证码之后,多次点击登录,只要不刷新页面,验证码是不变的。
实际上与cookie的JSESSIONID有关,只要JSESSIONID不变化,验证码就不变;
破解脚本(本人python菜鸟,代码抄别的大牛的)
使用方法:
(1)首先开启抓包工具Fiddle2,在登录页面随便输入登录信息,以获取固定的JSESSIONID的值和验证码;
(2)将以上代码中的headers中的JSESSIONID用上图的值替换;
(3)开始破解;
另附:如果目标站点的登录没有验证码,在命令的最后验证码那里随便输入个字符替代即可
(4)破解成功的结果保存在NC-iufo.cofco.com-SUCCESSFUL.txt
4. GetShell
使用破解的用户登录,在消息发送功能获取shell
新建消息,这里为了不引起别人的疑惑,建议发送消息给当前登录的用户,自己发给自己,一是方便查看,而是便于销毁痕迹。
查看消息,打开附件链接
删除消息,清理痕迹;(脚本是不会被删除的)
漏洞证明:
访问脚本木马:
还是AIX系统呐!
title:NC-IUFO 检索结果
除了中粮集团,测试了几个:
www.crccerp.com.cn 中国铁建
nc.intime.com.cn 银泰
nc.womaiapp.com 中粮我买
erp.suning.com.cn 苏宁环球
修复方案:
1. 弱口令是使用者的安全意识问题;
2. 未授权访问的页面和验证码、上传文件类型的验证须厂商来处理。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-11-19 16:56
厂商回复:
非常感谢!对用友的产品,尤其是主流产品进行提交问题我们是非常感谢的!不要关注目前已经不是用友的产品,及已经不销售和不维护的的产品,再次多谢!
最新状态:
暂无