漏洞概要
关注数(24)
关注此漏洞
漏洞标题:用友某系统通用型远程命令执行
提交时间:2015-01-21 12:12
修复时间:2015-04-21 12:14
公开时间:2015-04-21 12:14
漏洞类型:远程代码执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-01-21: 细节已通知厂商并且等待厂商处理中
2015-01-21: 厂商已经确认,细节仅向厂商公开
2015-01-24: 细节向第三方安全合作伙伴开放
2015-03-17: 细节向核心白帽子及相关领域专家公开
2015-03-27: 细节向普通白帽子公开
2015-04-06: 细节向实习白帽子公开
2015-04-21: 细节向公众公开
简要描述:
用友,用友,来三发。
详细说明:
#1
U8-MA移动应用(Mobile Application)是为用友U8提供基于手机和PAD的客户端移动应用,拓展和延伸ERP系统的应用时间、场所和人员,可以随时随地访问ERP系统。将单据审批操作扩展到手机上,使得审批可以随时进行,规范了企业的管理流程;将ERP系统中的关键消息及时、快捷、自动地通过手机客户端通知相关人员。
#2
然而该系统存在一个对外的移动应用管理站点,当然用友内部也在使用该移动应用做为移动审批。
其中使用了JBoss做为中间件,版本为JBoss-4.2.3.GA,然而开发人员在系统安装包中集成了invoker/JMXInvokerServlet,并且默认安装后,会对外网开放该接口。
该接口存在一处远程命令执行,可远程上传部署war包,导致getshell
#3
目前已知影响的站点有:
#4
下面以用友内部使用站点为getshell例子:
219.141.185.102
上图为登录移动应用管理站点,在对该系统测试时发现,用友内部默认使用的账号为admin,密码均为111111。
接口都来了,就不客气了,getshell。
#5
发现该站点还跑着其他Web站点,也作为内部的数据库。
#6
内网信息
漏洞证明:
#1
U8-MA移动应用(Mobile Application)是为用友U8提供基于手机和PAD的客户端移动应用,拓展和延伸ERP系统的应用时间、场所和人员,可以随时随地访问ERP系统。将单据审批操作扩展到手机上,使得审批可以随时进行,规范了企业的管理流程;将ERP系统中的关键消息及时、快捷、自动地通过手机客户端通知相关人员。
#2
然而该系统存在一个对外的移动应用管理站点,当然用友内部也在使用该移动应用做为移动审批。
其中使用了JBoss做为中间件,版本为JBoss-4.2.3.GA,然而开发人员在系统安装包中集成了invoker/JMXInvokerServlet,并且默认安装后,会对外网开放该接口。
该接口存在一处远程命令执行,可远程上传部署war包,导致getshell
#3
目前已知影响的站点有:
#4
下面以用友内部使用站点为getshell例子:
219.141.185.102
上图为登录移动应用管理站点,在对该系统测试时发现,用友内部默认使用的账号为admin,密码均为111111。
接口都来了,就不客气了,getshell。
#5
发现该站点还跑着其他Web站点,也作为内部的数据库。
#6
内网信息
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-01-21 12:43
厂商回复:
也经提过了,不要重复提
最新状态:
暂无
漏洞评价:
评论
-
2015-01-24 17:16 |
蛇精病 ( 路人 | Rank:23 漏洞数:10 | 你连棒棒糖都没有,还谈什么狗屁爱情?)
-
2015-01-26 08:49 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)
-
2015-02-04 20:24 |
f4ck ( 实习白帽子 | Rank:42 漏洞数:7 | 有些人很牛B,一个漏洞能刷成N个。)
厂商也太小气了吧,才1个rank,@疯狗,@xsser