当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093002

漏洞标题:用友某系统通用型远程命令执行

相关厂商:用友软件

漏洞作者: 路人甲

提交时间:2015-01-21 12:12

修复时间:2015-04-21 12:14

公开时间:2015-04-21 12:14

漏洞类型:远程代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-21: 细节已通知厂商并且等待厂商处理中
2015-01-21: 厂商已经确认,细节仅向厂商公开
2015-01-24: 细节向第三方安全合作伙伴开放
2015-03-17: 细节向核心白帽子及相关领域专家公开
2015-03-27: 细节向普通白帽子公开
2015-04-06: 细节向实习白帽子公开
2015-04-21: 细节向公众公开

简要描述:

用友,用友,来三发。

详细说明:

#1
U8-MA移动应用(Mobile Application)是为用友U8提供基于手机和PAD的客户端移动应用,拓展和延伸ERP系统的应用时间、场所和人员,可以随时随地访问ERP系统。将单据审批操作扩展到手机上,使得审批可以随时进行,规范了企业的管理流程;将ERP系统中的关键消息及时、快捷、自动地通过手机客户端通知相关人员。
#2
然而该系统存在一个对外的移动应用管理站点,当然用友内部也在使用该移动应用做为移动审批。
其中使用了JBoss做为中间件,版本为JBoss-4.2.3.GA,然而开发人员在系统安装包中集成了invoker/JMXInvokerServlet,并且默认安装后,会对外网开放该接口。
该接口存在一处远程命令执行,可远程上传部署war包,导致getshell
#3
目前已知影响的站点有:

58.17.217.62:8080 
1.202.212.25
114.247.34.133:8080
218.84.134.160:8080
60.13.167.26:8080
111.205.84.151:8080
111.75.254.143:8090
58.252.101.161
219.141.185.114
219.141.185.102
222.189.187.21:8080
119.255.63.19:8080
1.189.209.34:8080
221.237.157.186
221.230.3.230:8080
119.2.10.187
m.xhlbdc.com
1.202.248.47
58.213.23.245:8080
123.125.28.41
124.127.121.54:8080


#4
下面以用友内部使用站点为getshell例子:
219.141.185.102

1.jpg


上图为登录移动应用管理站点,在对该系统测试时发现,用友内部默认使用的账号为admin,密码均为111111。

2.jpg


3.jpg


接口都来了,就不客气了,getshell。
#5

5.jpg


6.jpg


7.jpg


发现该站点还跑着其他Web站点,也作为内部的数据库。
#6
内网信息

主机名:           WIN-PINENM2P32O
OS 名称: Microsoft Windows Server 2008 R2 Enterprise
OS 版本: 6.1.7600 暂缺 Build 7600
OS 制造商: Microsoft Corporation
OS 配置: 独立服务器
OS 构件类型: Multiprocessor Free
注册的所有人: Windows 用户
注册的组织:
产品 ID: 00486-001-0001076-84542
初始安装日期: 2012/4/25, 6:59:46
系统启动时间: 2014/10/15, 15:21:52
系统制造商: VMware, Inc.
系统型号: VMware Virtual Platform
系统类型: x64-based PC
处理器: 安装了 8 个处理器。
[01]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[02]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[03]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[04]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[05]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[06]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[07]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[08]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
BIOS 版本: Phoenix Technologies LTD 6.00, 2013/7/30
Windows 目录: C:\Windows
系统目录: C:\Windows\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 16,384 MB
可用的物理内存: 13,129 MB
虚拟内存: 最大值: 32,765 MB
虚拟内存: 可用: 22,258 MB
虚拟内存: 使用中: 10,507 MB
页面文件位置: D:\pagefile.sys
域: WORKGROUP
登录服务器: \\WIN-PINENM2P32O
修补程序: 安装了 3 个修补程序。
[01]: KB2621440
[02]: KB2667402
[03]: KB958488
网卡: 安装了 1 个 NIC。
[01]: Intel(R) PRO/1000 MT Network Connection
连接名: 本地连接
启用 DHCP: 否
IP 地址
[01]: 10.10.5.229
[02]: fe80::201e:c638:365c:79eb

漏洞证明:

#1
U8-MA移动应用(Mobile Application)是为用友U8提供基于手机和PAD的客户端移动应用,拓展和延伸ERP系统的应用时间、场所和人员,可以随时随地访问ERP系统。将单据审批操作扩展到手机上,使得审批可以随时进行,规范了企业的管理流程;将ERP系统中的关键消息及时、快捷、自动地通过手机客户端通知相关人员。
#2
然而该系统存在一个对外的移动应用管理站点,当然用友内部也在使用该移动应用做为移动审批。
其中使用了JBoss做为中间件,版本为JBoss-4.2.3.GA,然而开发人员在系统安装包中集成了invoker/JMXInvokerServlet,并且默认安装后,会对外网开放该接口。
该接口存在一处远程命令执行,可远程上传部署war包,导致getshell
#3
目前已知影响的站点有:

58.17.217.62:8080 
1.202.212.25
114.247.34.133:8080
218.84.134.160:8080
60.13.167.26:8080
111.205.84.151:8080
111.75.254.143:8090
58.252.101.161
219.141.185.114
219.141.185.102
222.189.187.21:8080
119.255.63.19:8080
1.189.209.34:8080
221.237.157.186
221.230.3.230:8080
119.2.10.187
m.xhlbdc.com
1.202.248.47
58.213.23.245:8080
123.125.28.41
124.127.121.54:8080


#4
下面以用友内部使用站点为getshell例子:
219.141.185.102

1.jpg


上图为登录移动应用管理站点,在对该系统测试时发现,用友内部默认使用的账号为admin,密码均为111111。

2.jpg


3.jpg


接口都来了,就不客气了,getshell。
#5

5.jpg


6.jpg


7.jpg


发现该站点还跑着其他Web站点,也作为内部的数据库。
#6
内网信息

主机名:           WIN-PINENM2P32O
OS 名称: Microsoft Windows Server 2008 R2 Enterprise
OS 版本: 6.1.7600 暂缺 Build 7600
OS 制造商: Microsoft Corporation
OS 配置: 独立服务器
OS 构件类型: Multiprocessor Free
注册的所有人: Windows 用户
注册的组织:
产品 ID: 00486-001-0001076-84542
初始安装日期: 2012/4/25, 6:59:46
系统启动时间: 2014/10/15, 15:21:52
系统制造商: VMware, Inc.
系统型号: VMware Virtual Platform
系统类型: x64-based PC
处理器: 安装了 8 个处理器。
[01]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[02]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[03]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[04]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[05]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[06]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[07]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
[08]: Intel64 Family 6 Model 37 Stepping 1 GenuineIntel ~2533 Mhz
BIOS 版本: Phoenix Technologies LTD 6.00, 2013/7/30
Windows 目录: C:\Windows
系统目录: C:\Windows\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 16,384 MB
可用的物理内存: 13,129 MB
虚拟内存: 最大值: 32,765 MB
虚拟内存: 可用: 22,258 MB
虚拟内存: 使用中: 10,507 MB
页面文件位置: D:\pagefile.sys
域: WORKGROUP
登录服务器: \\WIN-PINENM2P32O
修补程序: 安装了 3 个修补程序。
[01]: KB2621440
[02]: KB2667402
[03]: KB958488
网卡: 安装了 1 个 NIC。
[01]: Intel(R) PRO/1000 MT Network Connection
连接名: 本地连接
启用 DHCP: 否
IP 地址
[01]: 10.10.5.229
[02]: fe80::201e:c638:365c:79eb

修复方案:

1.删除接口
2.限制访问

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-01-21 12:43

厂商回复:

也经提过了,不要重复提

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-24 17:16 | 蛇精病 ( 路人 | Rank:23 漏洞数:10 | 你连棒棒糖都没有,还谈什么狗屁爱情?)

    也经提过了,不要重复提

  2. 2015-01-26 08:49 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    也经提过了,不要重复提。 审核哥啥情况?@疯狗

  3. 2015-02-04 20:24 | f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)

    厂商也太小气了吧,才1个rank,@疯狗,@xsser